포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 공정거래위원회를 사칭하여 랜섬웨어 유포중!



안녕하세요. ESRC(시큐리티 대응센터)입니다.


비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. 



[그림 1] 공정거래위원회 사칭 메일



비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 


이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. 





이번에 유포된 악성 메일 역시 기존과 동일하게 공정거래위원회를 사칭하고 있으며, zip 파일 안에 7z으로 이중압축이 되어있는 첨부파일이 포함되어 있습니다. 



[그림 2] 이중압축 되어있는 랜섬웨어



첨부파일 안에는 '부당 전자상거래 위반행위 안내' , '전산 및 비전산자료 보존 요청서'라는 파일명을 가진 2개의 실행파일이 포함되어 있으며,  PDF 아이콘을 위장하고 있습니다. 

 만약 사용자가 해당 파일을 실행하면 Nemty 3.1 랜섬웨어에 감염되게 됩니다. 


[그림 3] Nemty 3.1 랜섬웨어에 감염된 화면



비너스락커 조직은 스팸 메일을 통해 꾸준히 랜섬웨어를 유포하고 있어 사용자들의 지속적인 주의가 필요합니다. 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Nemty로 탐지중에 있습니다. 



티스토리 방명록 작성
name password homepage