상세 컨텐츠

본문 제목

'차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의

악성코드 분석 리포트

by 알약(Alyac) 2017. 5. 29. 17:14

본문

'차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


안녕하세요. 이스트시큐리티입니다.

최근 경찰서에서 보낸 '과태료 부과 고지서'인 것처럼 위장된 이메일에서 '오토크립터(AutoCryptor)' 랜섬웨어 변종이 유포되고 있어 사용자들의 긴급 주의가 필요합니다.


이스트시큐리티 시큐리티대응센터(ESRC)는 이번에 발견된 경찰서 사칭을 통해 유포된 오토크립터 랜섬웨어 역시 지난 페덱스 사칭 사례와 마찬가지로 나름 정교하게 작성된 한글 이메일을 활용하고 있다고 밝혔습니다. 공격자는 다양한 내용을 토대로 랜섬웨어를 유포하고 있는 것으로 보입니다.


※ 관련 글

 - 글로벌 특송업체 '페덱스' 배송팀을 사칭한 '오토크립터' 한국형 랜섬웨어 확산! ( ▶바로가기 )


'과태료부과 사전 통지서'로 위장한 랜섬웨어 유포 이메일

해당 이메일 본문은 '귀하의 차량이 법규 위반한 사실이 확인되어 과태료 부과대상이 되었으며, 첨부된 사전납부고지서를 참고하라'는 내용의 과태료 부과 통지 안내처럼 위장되어 있습니다. 이를 통해 수신자로 하여금 관심을 끌고, 첨부파일을 실행하게끔 유도합니다.


이메일에 첨부된 압축파일 '과태료부과사전통지서.egg'은 바로가기(.Ink) 파일로 위장한 '1. 과태료부과고지서.jpg' 파일과 문서 파일로 확장자를 위장한 실제 랜섬웨어 기능의 실행파일(.exe)인 '과태료부과고지서.hwp' 파일로 구성되어 있습니다. 


과태료부과 사전 통지서 파일로 위장한 압축파일과 바로가기 속성


‘과태료부과고지서.hwp’ 파일을 가장 먼저 실행할 경우, 실제 정상 한글문서(.hwp)가 아닌 위장된 파일이기 때문에 정상적으로 열리지 않아 감염되지 않습니다. 하지만 수신자가 이미지(.jpg) 파일로 위장된 바로가기 파일에 현혹되어 파일을 실행하면 바로가기의 내부 명령어에 의해 ‘과태료부과고지서.hwp’ 파일이 자동으로 실행됩니다. 


그리고 그 즉시 국내에서 사용하는 한글 문서(.hwp) 자료뿐만 아니라 각종 문서, 이미지, 동영상 파일 등 PC에 저장되어 있는 중요한 자료들이 암호화되는 오토크립터 랜섬웨어에 감염됩니다.


랜섬웨어 감염 시 보여지는 한글로 된 복호화 안내문


내용이 변경된 랜섬노트


암호화 과정이 모두 완료되면 바탕화면 등에 ‘THIS_YOU_MUST_READ.txt’ 이름의 랜섬노트 텍스트 파일이 생성되고 ,복호화 과정을 한국어로 안내하는 결제 요구 창을 띄웁니다. 이번 랜섬노트에서는 0.1btc 당 금액이 변경되었으며, 스스로 ‘오토디크립트 랜섬웨어’라고 칭하는 점이 특징입니다.


현재 ‘알약(ALYac)’에서는 오토크립터 랜섬웨어를 탐지명 ‘Trojan.Ransom.AutoCryptor’로 진단 후 치료하고 있으며, 랜섬웨어 행위기반 차단으로 변종에 대한 대응도 가능한 상태입니다.








관련글 더보기

댓글 영역