비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

비너스락커 조직, 여전히 이력서를 위장해 랜섬웨어 유포중인것으로 확인되었습니다. 

[그림 1] 이력서를 위장한 악성 메일

이번에 발견된 악성메일에 포함된 첨부파일도 기존에 유포되었던 악성파일들과 마찬가지로 압축파일 안에 또 다른 압축파일이 포함된 이중압축을 통해 보안sw의 탐지를 우회하려고 시도하고 있습니다. 

[그림 2] 압축파일 안에 또 다른 압축파일이 포함

이중압축 내부에는 pdf 파일을 위장한 exe 파일이 포함되어 있습니다. 

[그림 3] 이중압축 해제 후 보이는 파일

사용자가 만약 이중압축 해제 후, 압축파일에 포함되어 있던 실행파일을 실행하면 Nemty 랜섬웨어 3.1버전에 감염되게 됩니다. 

[그림 4] 랜섬노트

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Nemty로 탐지중에 있습니다. 

※ 관련글 바로가기

▶ 비너스락커 조직이 이중압축을 통해 유포하고 있는 Makop 랜섬웨어 주의! (2020.03.06)

▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!! (2020.03.04)

▶ 이력서 이메일을 위장하여 유포중인 Nemty 랜섬웨어 주의! 비너스락커 조직으로 추정 (2020.01.20)

▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)

▶ 비너스락커 조직, Nemty 2.2 랜섬웨어 여전히 유포중 (2019.12.10)

▶ 비너스락커 조직, 구직의뢰 내용으로 Nemty 랜섬웨어 2.2 확산 중(2019.12.04)

▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)

▶ 비너스락커 조직, 입사지원서 위장 Nemty Revenge 2.0 랜섬웨어 대량 유포중 (2019.10.29)

▶ 비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (2019.10.10) 

▶ 비너스락커, 입사 지원서 위장하여 Nemty 랜섬웨어 V1.5 유포! (2019.09.30)

▶ 비너스락커(VenusLocker), 또다시 입사지원서를 위장해 Nemty 랜섬웨어 유포! (2019.09.23) 

▶ 비너스락커 조직, 입사지원서를 위장한 메일로 랜섬웨어 'Nemty' 유포 중! (2019.09.11) 

▶ 비너스락커 조직, 새로운 랜섬웨어 'Nemty' 유포 시작 (2019.08.27) 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.1.3)