[우리문화신문=이한영 기자] 지난 1월 ‘공정거래위원위원회의 조사통지서’를 사칭해 불안감으로 사용자를 압박한 넴티 랜섬웨어에 이어 최근 또다시 ‘전자상거래 위반행위’ 등의 표현을 이용한 랜섬웨어가 확인됐다. 특히 금융기관이나 기업 인사담당자를 대상으로 유포되고 있어 기업 임직원들의 각별한 주의가 요구된다.
안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 지난 3월 3일, 금융기관과 인사담당자를 대상으로 '부당 전자상거래 위반행위' 또는 '이력서'를 사칭한 누리편지를 통해 랜섬웨어가 유포되는 것을 확인했다. 누리편지에 7z, zip 등의 압축파일이 첨부되어 있으며, 첨부 파일 내부에는 PDF 문서 아이콘의 실행파일(.exe)이 존재한다.
현재까지 확인된 압축파일 및 내부의 파일명은 [표 1]과 같다.
겉으로 보기에는 문서 파일의 아이콘만 보이고 실행파일의 확장자(.exe)가 보이지 않기 때문에 대부분 사용자들은 해당 파일을 의심하기 어렵다. 사용자가 PDF 파일처럼 보이는 해당 파일을 실행하면 랜섬웨어가 동작하며, 감염 컴퓨터의 파일을 암호화한 후 파일의 확장자명을 아래와 같이 변경한다. 또한 [그림 1]과 같은 랜섬 노트를 노출한다.
•암호화된 파일명 예시: [랜덤8자].[helpdesk_makp@protonmail.ch].makop
현재 V3 제품은 이와 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 또한, 행위기반기술을 이용해 해당 랜섬웨어의 동작을 차단하고 [그림 2]와 같은 알림창을 제공한다.
<V3 제품군 진단명>
- Trojan/Win32.RansomCrypt (2020.03.03.05)
- Malware/MDP.Ransom.M1876
- Malware/MDP.Ransom.M1171
최근 사회공학기법을 이용해 사용자의 호기심을 유발하거나 심리적으로 압박하는 악성코드 공격이 계속되고 있다. 특히 이번 사례처럼 업무 관련 내용으로 위장한 누리편지 공격이 계속되는 만큼 기업 내 임직원들의 각별한 주의가 요구된다.
의심스러운, 또는 일반적이지 않은 누리편지를 받을 때 더욱 주의해야 하며, 업무와 관련된 것으로 보이는 누리편지도 첨부 파일을 확인하거나 실행하기 전에 더욱 꼼꼼히 살펴보는 습관이 필요하다. 또한, V3의 엔진 버전을 최신 상태로 유지하고 실시간 검사 기능을 활성화(On)하는 것이 좋다.
최신 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.
AhnLab ASEC 분석팀
