상세 컨텐츠

본문 제목

입사지원서를 위장하여 유포중인 LockBit 랜섬웨어 주의!

악성코드 분석 리포트

by 알약4 2022. 2. 9. 15:01

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
금일 오후부터, 입사지원서를 위장하여 LockBit 랜섬웨어가 대량으로 유포중에 있어 사용자들의 주의가 필요합니다. 

 

[그림 1] 입사 지원서를 위장한 피싱 메일

 

피싱 메일은 입사지원서를 위장하여 유포중에 있으며, 최선을 다하겠다는 내용과 함께 비밀번호가 포함된 압축파일이 첨부되어 있습니다. 

 

여러개의 샘플 중, '입사지원서_220209(이력사항도 같이 기재하였습니다 잘부탁드립니다).' 파일명으로 유포중인 샘플을 확인해 보았습니다. 

 

 

[그림 2] 입사지원서를 위장하여 유포중인 LockBit랜섬웨어

 

해당 샘플은 한글 아이콘으로 위장하고 있어 사용자로 하여금 실행하도록 유도합니다. 만일, 사용자가 해당 파일을 실제 한글 파일로 오인하여 실행한다면 랜섬웨어가 실행됩니다. 

LockBit 랜섬웨어가 실행되면 먼저 다음 명령어들을 통하여 사용자PC의 복원 기능을 무력화 시킵니다.  

 

vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no

 


이후, 사용자 파일 암호화를 진행하며, 암호화 후 기존 파일명.lockbit으로 변경하며, Restore-My-Files.txt 파일명을 가진 랜섬노트를 띄웁니다.

 

 

[그림 3] 랜섬웨어 감염 후 확인



Makop 랜섬웨어를 유포하던 비너스락커 조직이, 최근부터 LockBit 랜섬웨어를 유포하기 시작하였습니다. 

사용자 여러분들께서는 의심스러운 사용자에게서 온 이메일의 첨부파일 열람을 지양해 주시고, 파일을 실행하기 전 파일 확장자를 반드시 확인하시고 실행하시기 바랍니다. 

현재 알약에서는 해당 랜섬웨어에 대해  Trojan.Ransom.LockBit로 탐지중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역