전체상품목록 바로가기

본문 바로가기

 
신규가입 3,000P 지급
현재 위치
  1. 게시판
  2. 공지사항

공지사항

 

게시판 상세
제목 부정행위 조사 통지서 사칭하며 심리적 압박하는 랜섬웨어, 주의!
작성자 (주)소프트정보서비스 (ip:)
  • 평점 0점  
  • 작성일 2020-01-16
  • 추천 추천하기
  • 조회수 545

최근 사용자를 심리적으로 압박하기 위해 공정거래위원위원회의 조사 통지서로 위장한 넴티(Nemty) 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 요구된다. 넴티 랜섬웨어는 한달 새 두 번 이상 업데이트를 진행하는 등 빠른 속도로 변종을 유포하고 있는데, V3는 넴티 랜섬웨어 변종을 행위 기반 탐지 기법과 프로세스 메모리 검사 등을 이용해 탐지 및 차단하고 있다.

 

 

 

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 넴티 랜섬웨어 2.5 버전이 공정거래위원회를 사칭한 이메일의 첨부 파일로 유포된 것을 확인했다. [그림 1]과 같이 해당 이메일은 공공기관의 문서처럼 교묘하게 위장하고 있으며, ‘전자상거래 위반’, ‘조사’ ‘부당 전자상거래 신고’ 등의 표현으로 이메일 수신자를 당황하게 만들어 첨부 파일을 열어보도록 하고 있다.

 


[그림 1] 공정거래위원회 사칭 이메일

 

위의 이메일에 첨부된 파일은 *.alz 형태의 압축파일로, 압축을 해제하면 [그림 2]와 같이 PDF 파일로 보이지만 실제로는 실행 파일인 악성 파일이 포함되어 있다.

 

 

[그림 2] PDF 파일로 위장한 악성 실행 파일

 

이번에 확인된 넴티 랜섬웨어는 이전과 마찬가지로 감염 PC의 특정 프로세스와 서비스를 종료하고 볼륨쉐도우를 삭제한 후 파일 암호화를 진행한다. 암호화가 완료되면 [그림 3]과 같은 랜섬노트를 화면에 노출한다.

 

 
[그림 3] 넴티 랜섬웨어 2.5 버전의 랜섬 노트

 

넴티 랜섬웨어는 지난 2018년 연말부터 유사한 형태의 이메일 및 첨부 파일로 유포되고 있다. 특히 지난 1월 6일에는 아래와 같은 파일명으로 위장한 사례들이 확인되었다.

 

■ 2020년 1월 초 유포된 넴티 랜섬웨어 파일명

- 사용중_이미지_200106(꼭 확인하시고 조치부탁드릴께요).exe

- 원본_200106(꼭 확인하시고 조치부탁드릴께요).exe

- 부당 전자상거래 위반행위 안내(20200106)자료 반드시 준비해주세요.exe

- 전산 및 비전산자료 보존 요청서(20200106)자료 반드시 준비해주세요.exe

 

V3 제품은 최신 넴티 랜섬웨어를 아래와 같은 진단명으로 탐지한다. 또한 [그림 4]와 같이 행위 기반 탐지 기능을 이용해 최신 변종을 탐지 및 차단한다.

 

<V3 제품명 진단명> 

Trojan/Win32.MalPE (2020.01.06.03)

Win-Trojan/MalPeP.mexp

Malware/MDP.SystemManipulation.M2599

 


[그림 4] V3 제품의 행위 기반 탐지 알림창

 

해가 바뀔수록 더욱 교묘하게 위장한 랜섬웨어가 유포되고 있는 만큼 피해 예방을 위해 사용자들의 각별한 주의가 필요하다. 의심스러운, 또는 일반적이지 않은 이메일을 수신 시 더욱 각별히 주의해야 하며, V3의 엔진 버전을 최신 상태로 유지하는 것이 좋다.

첨부파일
비밀번호 수정 및 삭제하려면 비밀번호를 입력하세요.
댓글 수정

비밀번호 :

/ byte

비밀번호 : 확인 취소


HOME  COMPANY  BOARD  AGREEMNET  PRIVACY  GUIDE

011-17-010436

농협 / (주)소프트정보서비스

015-01-0690-148

국민 / (주)소프트정보서비스

WORLD SHIPPING

PLEASE SELECT THE DESTINATION COUNTRY AND LANGUAGE :

GO
close