[주의] 공정거래위원회 사칭한 악성 메일로 소디노키비 랜섬웨어 유포 중!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.

이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.

[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일

실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다.

[그림 2] PDF 파일을 위장한 악성 실행 파일

File Name	MD5
부당 전자상거래 위반행위 안내.pdf(긴공백).exe	7910905B2D4A49D387F24A94FA05DCCE
전산 및 비전산자료 보존 요청서.pdf(긴공백).exe	7910905B2D4A49D387F24A94FA05DCCE

만일 이용자가 해당 파일을 "부당 전자상거래 위반행위 안내" 및 "전산 및 비전산자료 보존 요청서" PDF 파일로 착각해 실행할 경우, 소디노키비 랜섬웨어에 감염됩니다.

[그림 3] 소디노키비 랜섬웨어에 감염된 PC 화면

소디노키비 랜섬웨어는 피해자 PC의 바탕화면을 파란색 화면으로 변경시키고 각 폴더마다 랜섬노트를 생성합니다.

랜섬노트에는 소디노키비 랜섬노트 특징인 "Welcome. Again"이라는 문구로 시작되는 것을 확인하실 수 있습니다.

[그림 4] 소디노키비 랜섬노트 화면

따라서 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지 중입니다.

※ Sodinokibi 랜섬웨어 게시글 바로가기

▶ 신종 랜섬웨어 ‘Sodinokibi’ 주의! (2019.04.30)

▶ [주의] 신종 랜섬웨어 ‘Sodinokibi’, 견적 의뢰 요청 메일로 대량 유포 중! (2019.05.14)

▶ [주의] 신종 랜섬웨어 'Sodinokibi', 입사지원서 사칭해 유포 중! (2019.05.15)

▶ Trojan.Ransom.Sodinokibi 악성코드 분석 보고서 (2019.05.21)

▶ 리플라이 오퍼레이터, 스팸하우스 사칭해 소디노키비 랜섬웨어 유포 주의! (2019.05.31)

▶ 리플라이 오퍼레이터, 금융회사 사칭해 'Sodinokibi' 랜섬웨어 유포 (2019.06.03)

▶ NH농협 보안담당자 메일로 위장한 소디노키비 랜섬웨어 주의! (2019.06.14)