빠르게 변화하는 넴티 랜섬웨어, 주의!

빠르게 변화하는 넴티 랜섬웨어, 주의! AhnLab ASEC 분석팀 ㅣ 2019-12-04         최근 국내 사용자를 타깃으로 넴티(NEMTY) 랜섬웨어 변종이 잇따라 유포되고 있다. 여타 랜섬웨어에 비해 훨씬 빠른 속도로 변종을 유포하고 있는 넴티 랜섬웨어는 사람들이 관심을 가질 수 밖에 없는 내용으로 위장하고 있어 더욱 각별한 주의가 필요하다.     지난 12월 2일, 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 이메일을 통해 넴티 랜섬웨어 버전 2.2(NEMTY 2.2 REVENGE, 이하 넴티 2.2)가 유포되는 것을 확인했다. 11월 12일에 넴티 랜섬웨어 2.0 버전(이하 넴티 2.0)이 국내에서 발견된 지 채 한달도 되지 않은 시점에서 2.2 버전이 나타난 것이다.   [그림 1] 넴티 랜섬웨어 버전 2.2   넴티 랜섬웨어는 [그림 2]와 같이 ‘이력서’ 또는 ‘부당 전자상거래 위반행위 안내’ 등으로 위장한 이메일 및 첨부 파일로 유포되고 있으며, 파일 암호화 후 파일명을 변경한다. 넴티 2.0은 pdf 파일로, 넴티 2.2는 한글(.hwp) 파일명과 아이콘으로 위장하고 있지만 실제로는 모두 실행 파일이다. 파일명에 상당한 여백을 추가해 실행 파일 포맷(.exe)을 숨겨 문서 파일처럼 보이도록 위장했기 대문에 사용자가 문서 파일로 생각하고 클릭하면 랜섬웨어에 감염된다.   [그림 2] 문서 파일로 위장한 넴티 랜섬웨어 및 암호화 후 변경된 파일명   ASEC 분석 결과, 넴티 2.2는 감염 대상, 감염 제외 국가 및 제외 파일, 폴더 등이 모두 기존 2.0 버전과 동일한 것으로 확인됐다. 예를 들어, 두 버전 모두 러시아나 우크라이나 등의 국가는 감염 대상 지역에서 제외한다.   현재 V3 제품에서는 아래와 같은 진단명으로 넴티 2.0과 2.2를 탐지하고 있으며, 행위 기반 진단 기술로 랜섬웨어 실행을 차단하고 [그림 3]과 같은 알림창을 제공한다.   <V3 제품군 진단명>   - Trojan/Win32.MalPe (2019.12.02.04) - Win-Trojan/MalPeP.mexp - Malware/MDP.SystemManipulation.M1751 - Trojan/Win32.Malpe (2019.11.20.03) - Malware/MDP.SystemManipulation.M1751   [그림 3] V3 제품의 행위 기반 차단 알림창   넴티 랜섬웨어는 한달 사이에 벌써 2번이나 업데이트 됐다. 유포 방식은 유사하지만 앞으로 어떤 식으로 변화할지는 예측하기 어렵다. 특히 국내 사용자를 대상으로 지속적으로 유포되고 있는 만큼 사용자들의 각별한 주의가 필요하다. 알 수 없는 발신자가 보낸 메일이나 파일을 열어보지 않도록 주의해야 하며, V3 제품의 엔진을 최신 버전으로 유지하는 것이 필요하다.   넴티 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.