포스팅 내용

악성코드 분석 리포트

[주의] 신종 랜섬웨어 ‘Sodinokibi’, 견적 의뢰 요청 메일로 대량 유포 중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


금일(2019년 05월 14일) 오전 '견적 요청 드려요'라는 피싱 메일이 급격하게 다량으로 유포되고 있어 사용자들의 주의가 필요합니다.


[그림 1] 견적 요청을 위장한 피싱 메일 화면


해당 메일에는 '견적요청.alz'라는 알집 파일(alz)이 첨부되어 있습니다.


해당 악성 파일을 견적요청 파일로 착각하여 압축 해제하면, 다음과 같이 MS Word 문서(.doc)를 위장한 악성 실행 파일이 들어 있습니다.


[그림 2] MS Word 문서 파일을 위장한 악성 파일1


악성 실행 파일은 '견적요청.doc(빈공백).exe'이라는 이중 확장자 형태이며, 자세히 확인하지 않으면 해당 파일을 Word 문서 파일로 착각할 가능성이 높습니다.


또한, 큰 아이콘으로 파일이 표기된 경우 악성 실행 파일이라는 것을 알아차리기 더 어렵습니다.


[그림 3] MS Word 문서 파일을 위장한 악성 파일2


따라서 사용자가 해당 파일을 Word 파일로 착각해 실행하면, 다음과 같이 Sodinokibi 랜섬웨어에 감염되게 됩니다.


[그림 4] Sodinokibi 랜섬웨어에 감염된 PC 화면


Sodinokibi 랜섬웨어는 최근 발견된 신종 랜섬웨어로 이전의 갠드크랩처럼 국내에 대량으로 유포되고 있습니다.


Sodinokibi 랜섬웨어는 감염된 PC의 바탕화면을 파란색 화면으로 변경하고, 랜섬노트에 “Hello, dear friend”라는 문구로 시작한다는 특징이 있습니다.


[그림 5] Sodinokibi 랜섬노트 화면


각 기업의 담당자께서는 출처가 불분명한 사용자에게서 온 '견적요청' 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


알약에서는 해당 악성 샘플에 대하여 Trojan.Ransom.Sodinokibi으로 탐지 중에 있습니다.




티스토리 방명록 작성
name password homepage