포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


스미싱 메일을 통해 Nemty 랜섬웨어 2.2 버전이 유포되고 있어 사용자들의 주의가 필요합니다. 


[그림1] 피싱 메일


Nemty 2.2 랜섬웨어를 유포하는 조직은 유창하게 한글을 구사하고 있으며, 네이버, 한메일 주소를 통하여 이메일을 유포합니다. 특이한 점은 이메일 문장에 마침표를 생략한다는 것입니다. 


이러한 특징을 보아 배후에는 비너스락커 조직이 있는 것으로 추정하고 있습니다. 


[그림2] 악성 메일에 첨부된 파일


이메일에는 압축파일이 첨부되어 있으며, 이 압축파일 안에는 한글 파일을 위장한 .exe 파일이 포함되어 있습니다. 


[그림3] 알집에서 띄워주는 이중 확장자에 대한 경고창


알집을 사용하는 사용자라면 알집에서 다중 확장자에 대해 주의를 주지만, 다른 압축프로그램을 사용하는 사용자라면 각별한 주의가 필요합니다. 


만약 사용자가 압축파일 안에있는 exe 파일을 실행하면 Nemty 랜섬웨어 2.2가 실행되게 됩니다. 


[그림4] Nemty 2.2 랜섬웨어 랜섬노트


현재 국내에 다량으로 유포중인 만큼, 사용자들의 각별한 주의가 필요합니다. 


알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Nemty로 탐지하고 있으며, 지속적인 모니터링 중에 있습니다. 






티스토리 방명록 작성
name password homepage