포스팅 내용

악성코드 분석 리포트

청년 인턴 보도자료로 위장한 랜섬웨어 주의




안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.


최근 ‘청년인턴 합격자 발표 내용의 보도자료’로 위장한 ‘청년인턴.pdf .exe’ 랜섬웨어 악성 파일이 발견되어 이용자들의 주의를 당부드립니다. 특징적으로 공격자는 pdf가 아닌 pdx 아이콘을 사용하였는데, pdx 확장자는 어도비 아크로뱃 리더 인덱스 파일을 의미합니다.


[그림 1] PDX 아이콘으로 위장한 랜섬웨어 파일



청년인턴.pdf .exe 분석


‘청년 인턴.pdf .exe’는 7Zip SFX로 되어 있고, C:\NewFolder\에 org.pdf, result.exe 파일을 드롭 및 실행합니다.


[그림 2] ‘청년 인턴.pdf .exe’ 파일 내부 화면


실행되는 ‘org.pdf’ 파일 내용은 아래와 같습니다.


[그림 3] ‘org.pdf’ 파일 내용


result.exe 랜섬웨어 분석


'result.exe'는 랜섬웨어로 ‘%USERPROFILE%(C:\Users\[사용자 계정])’ 하위에 존재하는 아래의 확장자를 가지는 파일들을 암호화합니다. 암호화된 파일은 다른 랜섬웨어와 달리 확장자 변경이 이루어지지 않습니다.


jpg, png, pdf, hwp, psd, mp3, wav, flac, gif, doc, xls, xlsx, docx, ppt, pptx, avi, mp4, mkv, zip, rar, alz, egg, 7z, raw


파일 암호화 이후, 바탕화면에 ‘README.txt’ 랜섬노트 파일을 드롭합니다. 랜섬노트를 통해 ‘oh_ransom_my_ransom@protonmail.com’으로 연락을 유도하는 내용을 담고 있습니다.


[그림 4] ‘README.txt’ 랜섬노트 파일 화면


따라서 악성코드 감염을 예방하기 위해, 출처가 불분명한 메일을 확인할 경우, 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 백신 업데이트 최신화와 정기 검사를 습관화하여야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야합니다.


현재 알약에서는 ‘Trojan.Ransom.Filecoder’로 탐지 중입니다.





티스토리 방명록 작성
name password homepage