이력서를 위장한 Makop랜섬웨어 다량 유포

안녕하세요. ESRC(시큐리티 대응센터)입니다.

현재 이력서를 위장한 Makop랜섬웨어가 대량 유포 중인 정황이 발견되어 사용자들의 주의가 필요합니다.

공격자는 이력서를 위장하여 악성파일이 첨부된 파일을 전송합니다.

[그림 1] 이력서 위장 이메일 화면

[그림 2] 첨부 파일 

코드 분석

첨부파일은 pdf 아이콘을 가지고 있으며 사용자에게 문서파일인 것으로 위장하지만 해당 파일은 exe 파일로 실행 파일을 암호화하는 랜섬웨어 행위를 수행합니다.

먼저, Windows 시점 복원을 방지하기 위해 'cmd.exe'를 이용하여 볼륨 섀도를 삭제합니다.

[그림 3] 볼륨 섀도 삭제 화면

또한, 현재 사용자가 접근 중이거나 프로세스에서 사용되는 파일을 암호화시키기 위해 현재 로컬에서 실행 중인 프로세스들을 확인하여 종료합니다.

'msftesql.exe', 'sqlagent.exe', 'sqlbrowser.exe', 'sqlservr.exe', 'sqlwriter.exe', 'oracle.exe', 'ocssd.exe', 'dbsnmp.exe', 'synctime.exe', 'agntsrvc.exe', 'mydesktopqos.exe', 'isqlplussvc.exe', 'xfssvccon.exe', 'mydesktopservice.exe', 'ocautoupds.exe', 'encsvc.exe', 'firefoxconfig.exe', 'tbirdconfig.exe', 'ocomm.exe', 'mysqld.exe', 'mysqld-nt.exe', 'mysqld-opt.exe', 'dbeng50.exe', 'sqbcoreservice.exe', 'excel.exe', 'infopath.exe', 'msaccess.exe', 'mspub.exe', 'onenote.exe', 'outlook.exe', 'powerpnt.exe', 'steam.exe', 'thebat.exe', 'thebat64.exe', 'thunderbird.exe', 'visio.exe', 'winword.exe', 'wordpad.exe'

이후, 감염 PC 파일들을 암호화 합니다.

[그림 4] 파일 암호화 코드

파일 암호화와 함께 복호화와 이를 위한 결제 안내 메시지가 담겨있는 랜섬 노트를 생성합니다.

[그림 5] 랜섬 노트 화면

따라서 악성코드 감염을 예방하기 위해, 출처가 불분명한 메일 첨부파일 실행을 지양해야 하며 백신 업데이트와 정기적인 검사를 습관화하여야 합니다.

현재 알약에서는 'Trojan.Ransom.Makop'탐지 명으로 탐지 중입니다.