LockBit 3.0 랜섬웨어, 원본 파일명을 유지한 채 암호화를 진행하도록 변경돼

 

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
입사지원서를 위장하여 랜섬웨어가 지속적으로 유포되고 있어 사용자들의 주의가 필요합니다. 

ESRC에서는 지속적으로 입사지원서 및 저작권 관련 내용으로 유포되는 랜섬웨어에 대해 주의를 당부한 바 있으며, 이번에 발견된 랜섬웨어 역시 '이력서 열심히 하겠습니다. 잘부탁드립니다'라는 파일명과 함께 한글파일 아이콘을 위장한 실행파일로 사용자의 실행을 유도합니다. 

 

[그림 1] 이력서를 위장한 랜섬웨어

 

사용자가 해당 파일을 실행하면 LockBit3.0 랜섬웨어가 실행되며 사용자 PC내 파일들이 암호화 됩니다. 

기존에 유포되던 LockBit 3.0의 경우, 암호화와 동시에 원본 파일명 또한 변경하여 파일명을 알아볼 수 없었지만, 이번에 유포중인 LockBit 3.0은 기존과 다르게 원본 파일의 파일명을 확인할 수 있게 변경되었습니다. 

 

[그림 2] 파일 암호화 전 후 비교 이미지

 

 

암호화 이후 사용자 바탕화면 이미지를 바꿔 사용자가 랜섬웨어에 감염되었다는 사실을 인지할 수 있도록 알리며, 랜섬노트에서 안내하는 방식을 통해 랜섬머니를 지불하라고 협박합니다.

 

 

[그림 3] 랜섬웨어 감염 후 변경된 바탕화면

 

사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일 내 첨부파일 열람을 지양하시고, 수상한 파일 실행 전 반드시 확장자를 확인하셔야 합니다. 또한 중요 파일에 대해서는 주기적으로 백업을 진행하여 랜섬웨어에 감염되었을 때 피해를 최소화 할 수 있도록 노력해야 합니다. 
 
현재 알약에서는 해당 랜섬웨어에 대해  Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다.