부정행위 조사 통지서 사칭하며 심리적 압박하는 랜섬웨어, 주의!

부정행위 조사 통지서 사칭하며 심리적 압박하는 랜섬웨어, 주의! AhnLab ASEC 분석팀 l 2020-01-08     최근 사용자를 심리적으로 압박하기 위해 공정거래위원위원회의 조사 통지서로 위장한 넴티(Nemty) 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 요구된다. 넴티 랜섬웨어는 한달 새 두 번 이상 업데이트를 진행하는 등 빠른 속도로 변종을 유포하고 있는데, V3는 넴티 랜섬웨어 변종을 행위 기반 탐지 기법과 프로세스 메모리 검사 등을 이용해 탐지 및 차단하고 있다.     안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 넴티 랜섬웨어 2.5 버전이 공정거래위원회를 사칭한 이메일의 첨부 파일로 유포된 것을 확인했다. [그림 1]과 같이 해당 이메일은 공공기관의 문서처럼 교묘하게 위장하고 있으며, ‘전자상거래 위반’, ‘조사’ ‘부당 전자상거래 신고’ 등의 표현으로 이메일 수신자를 당황하게 만들어 첨부 파일을 열어보도록 하고 있다.   [그림 1] 공정거래위원회 사칭 이메일   위의 이메일에 첨부된 파일은 *.alz 형태의 압축파일로, 압축을 해제하면 [그림 2]와 같이 PDF 파일로 보이지만 실제로는 실행 파일인 악성 파일이 포함되어 있다.   [그림 2] PDF 파일로 위장한 악성 실행 파일   이번에 확인된 넴티 랜섬웨어는 이전과 마찬가지로 감염 PC의 특정 프로세스와 서비스를 종료하고 볼륨쉐도우를 삭제한 후 파일 암호화를 진행한다. 암호화가 완료되면 [그림 3]과 같은 랜섬노트를 화면에 노출한다.   [그림 3] 넴티 랜섬웨어 2.5 버전의 랜섬 노트   넴티 랜섬웨어는 지난 2018년 연말부터 유사한 형태의 이메일 및 첨부 파일로 유포되고 있다. 특히 지난 1월 6일에는 아래와 같은 파일명으로 위장한 사례들이 확인되었다.   ■ 2020년 1월 초 유포된 넴티 랜섬웨어 파일명   - 사용중_이미지_200106(꼭 확인하시고 조치부탁드릴께요).exe - 원본_200106(꼭 확인하시고 조치부탁드릴께요).exe - 부당 전자상거래 위반행위 안내(20200106)자료 반드시 준비해주세요.exe - 전산 및 비전산자료 보존 요청서(20200106)자료 반드시 준비해주세요.exe   V3 제품은 최신 넴티 랜섬웨어를 아래와 같은 진단명으로 탐지한다. 또한 [그림 4]와 같이 행위 기반 탐지 기능을 이용해 최신 변종을 탐지 및 차단한다.   <V3 제품명 진단명>   Trojan/Win32.MalPE (2020.01.06.03) Win-Trojan/MalPeP.mexp Malware/MDP.SystemManipulation.M2599   [그림 4] V3 제품의 행위 기반 탐지 알림창   해가 바뀔수록 더욱 교묘하게 위장한 랜섬웨어가 유포되고 있는 만큼 피해 예방을 위해 사용자들의 각별한 주의가 필요하다. 의심스러운, 또는 일반적이지 않은 이메일을 수신 시 더욱 각별히 주의해야 하며, V3의 엔진 버전을 최신 상태로 유지하는 것이 좋다.   최신 넴티 랜섬웨어에 관한 보다 자세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기