포스팅 내용

악성코드 분석 리포트

'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


안녕하세요. 이스트시큐리티입니다.

최근 AutoCryptor 랜섬웨어가 국가 기관 및 기업, 그리고 블로그 서비스 이용자를 대상으로 '설문조사', '페덱스 배송'. '차량 법규 위반 과태료 통지서' 등 다양한 형태의 메일로 유포되었습니다.


※ 관련 글

 - 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중! (▶바로가기)

 - 글로벌 특송업체 '페덱스' 배송팀을 사칭한 '오토크립터' 한국형 랜섬웨어 확산! (▶바로가기)

 - '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의 (▶바로가기)


그리고 이번에는 '[eFINE]위반사실 통지 및 과태료부과 사전통지서'라는 제목의 이메일을 통해 비너스락커(VenusLocker) 랜섬웨어가 또 다시 국내에 다량 유포되는 정황이 포착되어 이용자들의 각별한 주의를 당부 드립니다.


이번 메일 역시 지난 '차량 법규 위반 과태료 통지서'와 마찬가지로 유사한 내용이 포함되어 있으며, 첨부된 사전납부 고지서를 참고하라는 내용으로 수신자가 첨부파일에 관심을 가지도록 유도합니다.


[그림 1] [eFINE] 위반사실 통지 및 과태료부과 사전통지서 이메일 본문


이메일에 첨부된 압축파일인 '과태료부과고지서.egg'바로가기(.Ink) 파일로 위장한 '1.과태료부과고지서.jpg.Ink' 파일과 PDF 파일로 확장자를 위장한 실제 랜섬웨어 기능의 실행파일(.exe)인 '과태료부과고지서.pdf' 파일로 구성되어 있습니다.


[그림 2] 과태료부과고지서 파일로 위장한 압축파일과 바로가기 속성


과태료가 얼마나 부과되었는지 확인하기 위해 '과태료부과고지서.pdf'를 클릭하면 실제 PDF 파일이 아닌 실행 파일이므로 정상적으로 열리지 않습니다. 수신자가 바로가기 파일을 클릭하게 될 경우 바로가기 파일 내부의 명령어에 의해 PDF로 위장한 '과태료부과고지서.pdf' 실행파일이 실행됩니다.


그리고 국내에서 사용하는 한글 문서(.hwp)를 포함하여 각종 문서, 이미지, 동영상 파일 등 PC에 저장되어 있는 중요한 자료들이 암호화되는 비너스락커(VenusLocker) 랜섬웨어에 감염됩니다.


암호화 과정이 종료되면 바탕화면에 'VenusLocker_ReadMe.txt' 이름의 랜섬노트 텍스트 파일을 생성하고, 복호화 과정을 안내하는 창을 띄웁니다. 이번 VenusLocker에서는 0.1BTC, 현재 약 30만원에 해당되는 금액을 요구하고 있습니다.


[그림 3] 복호화 과정을 안내하는 비너스락커 랜섬웨어 화면


[그림 4] 비너스락커 랜섬 노트


한편 지난 '차량 법규 위반 과태료 통지서' 메일과 비슷하게 이번에도 공격자가 작성한 것으로 보이는 오타가 확인되었습니다. 실제 사전통지서 내용은 '도로교통법 시행규칙 [별지 제154호서식]'의 내용을 복사하였고, '(사전납부지 32,000)'의 내용은 인터넷에 올라온 내용을 입력하다가 실수한 것으로 보여집니다. 즉 공격자도 '한국어 자판'을 사용하고 있으며 어느 정도의 이해력을 가지고 있다는 단서가 될 수 있습니다.


[그림 5] 이메일에서 발견된 공격자의 오타


작년 연말부터 최근까지 이메일을 통해 한국 맞춤형 랜섬웨어 '비너스락커', '오토크립터'가 기승을 부리고 있습니다. 따라서 중요한 자료는 외장 매체에 보관하는 등의 보안 습관을 준수하여 피해를 보지 않도록 주의해 주시기 바랍니다.


현재 '알약'에서는 관련 랜섬웨어를 'Trojan.Ransom.VenusLocker'로 진단 및 치료하고 있습니다.




티스토리 방명록 작성
name password homepage