포스팅 내용

악성코드 분석 리포트

비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중


안녕하세요.

이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


지난주(4일), 저희는 '비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중' 이라는 글을 통해 주의를 당부한 적이 있었습니다. 


하지만 그 후 현재까지도 Nemty 랜섬웨어는 꾸준히 유포중에 있으며, 그 피싱 메일은 여전히 구직 의뢰내용을 위장하고 있습니다. 


[그림1] 구인내용을 위장하고 있는 피싱 메일


비너스락커 조직이 최근 유포하는 피싱 메일의 특징은 이메일 제목에 이름을 넣는다는 점으로, 실제로 구직 이메일의 경우 구직자의 이름을 제목에 넣는 경우가 많기 때문에 기업 사용자들의 각별한 주의가 필요합니다. 


[그림2] 피싱 메일에 포함되어 있는 첨부파일


피싱 메일의 첨부파일에는 한글파일(.hwp)을 위장한 실행파일(.exe)이 포함되어 있으며, 만약 사용자가 한글파일로 인지하여 압축해제 후 파일을 실행할 경우 Nemty 2.2 랜섬웨어에 감염되게 됩니다. 


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Nemty로 탐지중에 있으며, 추가 변종에 지속적으로 대응중에 있습니다. 







티스토리 방명록 작성
name password homepage