비너스락커 조직, 공정거래위원회를 사칭하여 랜섬웨어 유포중!

안녕하세요. ESRC(시큐리티 대응센터)입니다.

비너스락커 조직이 지속적으로 공정거래위원회를 사칭하여 랜섬웨어를 유포중에 있어 사용자들의 주의가 필요합니다. 

[그림 1] 공정거래위원회 사칭 메일

비너스락커 조직은 이미 몇년 전 부터 공정거래위원회를 사칭하여 랜섬웨어를 유포하였으며, 유포하는 랜섬웨어 종류는 바뀌었지만 그 수법은 매우 유사합니다. 

이에 ESRC에서는 공정거래위원회 사칭 악성메일에 대해 이미 여러차례 주의를 당부드렸었습니다. 

※ 공정거래위원회 사칭 악성메일 관련 글

▶ 공정거래위원회를 사칭한 악성 메일 주의! 비너스락커 조직의 소행으로 추정 (2020.01.03)

▶ Nemty 랜섬웨어, 공문을 사칭한 악성 메일을 통해 지속적으로 유포중! (2019.11.13)

▶ 비너스락커, 공정거래위원회 사칭하여 Nemty 랜섬웨어 V1.6 유포 주의! (2019.10.10)

▶ [주의] 공정거래위원회 사칭한 악성 메일로 소디노키비 랜섬웨어 유포 중! (2019.07.11)

▶ 최신 공정위 로고를 사용한 공정위 사칭 악성 메일 주의 (2018.09.04)

▶ 공정거래위원회를 사칭하여 유포하는 GandCrab 랜섬웨어 주의 (2018.08.17)

이번에 유포된 악성 메일 역시 기존과 동일하게 공정거래위원회를 사칭하고 있으며, zip 파일 안에 7z으로 이중압축이 되어있는 첨부파일이 포함되어 있습니다. 

[그림 2] 이중압축 되어있는 랜섬웨어

첨부파일 안에는 '부당 전자상거래 위반행위 안내' , '전산 및 비전산자료 보존 요청서'라는 파일명을 가진 2개의 실행파일이 포함되어 있으며,  PDF 아이콘을 위장하고 있습니다. 

 만약 사용자가 해당 파일을 실행하면 Nemty 3.1 랜섬웨어에 감염되게 됩니다. 

[그림 3] Nemty 3.1 랜섬웨어에 감염된 화면

비너스락커 조직은 스팸 메일을 통해 꾸준히 랜섬웨어를 유포하고 있어 사용자들의 지속적인 주의가 필요합니다. 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Nemty로 탐지중에 있습니다.