상세 컨텐츠

본문 제목

비너스락커 조직, 피싱 메일을 통해 또 다시 LockBit 랜섬웨어 유포중!

악성코드 분석 리포트

by 알약4 2022. 5. 17. 16:09

본문

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
어제(16일)부터 현재까지 이력서, 저작권 침해를 위장한 피싱 메일을 통하여 LockBit 랜섬웨어가 다수 유포되고 있어 사용자들의 주의가 필요합니다. 

 

이력서와 저작권 관련 피싱 메일을 통하여 랜섬웨어를 유포하는 방식은 비너스락커 조직이 오래전부터 사용하던 공격수법입니다. 

 

 

[그림 1] 저작권 위반 내용을 위장하여 유포중인 피싱 메일

 

 

피싱 메일에는 수신자가 사진의 저작권을 위반하였다는 내용과 함께 랜섬웨어가 포함된 압축파일이 포함되어 있습니다. 첨부되어 있는 압축파일은 비밀번호가 설정되어 있으며, 비밀번호는 압축파일명에 적혀 있어 사용자가 쉽게 알 수 있습니다.

 

 

[그림 2] 피싱 메일에 첨부되어 있는 압축파일

 

[그림 3] 한글 파일 아이콘을 위장하고 있는 랜섬웨어

 

.zip으로 압축되어 있는 압축파일 내에는 또 하나의 .alz 압축파일이 있으며, 해당 압축파일 내에 한글 파일 아이콘을 위장한 실행파일과 이미지 파일이 포함되어 있습니다. 

 

만일 사용자가 해당 아이콘을 한글 파일로 오인하여 실행한다면, LockBit 랜섬웨어에 감염되게 됩니다. 

 

 

[그림 4] 감염 후 랜섬노트로 변경된 바탕화면

 

랜섬웨어가 실행되면 사용자 PC내 파일들을 암호화 한 후 확장자를 .lockbit으로 변경하며, 바탕화면도 랜섬노트로 변경합니다. 

 

복호화 툴이 아직 공개되지 않은 랜섬웨어에 감염될 경우, PC 포멧 이외에는 방법이 없기 때문에 사용자들의 각별한 주의가 필요합니다. 

 

사용자 여러분들께서는 수상한 발신자에게서 수신한 이메일 내 첨부파일 혹은 링크의 클릭을 지양하시고, 백신 설치와 주기적인 백업을 통하여 혹시 모를 랜섬웨어 공격에 대비하시기를 권고 드립니다.

 

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.LockBit로 탐지중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역