또 전자상거래 위반으로 심리적 압박하는 랜섬웨어 등장

또 전자상거래 위반으로 심리적 압박하는 랜섬웨어 등장 AhnLab ASEC 분석팀 l 2020-03-04         지난 1월 ‘공정거래위원위원회의 조사 통지서’를 사칭해 불안감으로 사용자를 압박한 넴티 랜섬웨어 이어 최근 또 다시 ‘전자상거래 위반 행위’ 등의 표현을 이용한 랜섬웨어가 확인됐다. 특히 금융기관 및 기업 인사 담당자를 대상으로 유포되고 있어 기업 임직원들의 각별한 주의가 요구된다.     안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)는 지난 3월 3일, 금융기관 및 인사담당자를 대상으로 '부당 전자상거래 위반행위' 또는 '이력서'를 사칭한 이메일을 통해 랜섬웨어가 유포되는 것을 확인했다. 이메일에 7z, zip 등의 압축파일이 첨부되어 있으며, 첨부 파일 내부에는 PDF 문서 아이콘의 실행파일(.exe)이 존재한다.   현재까지 확인된 압축파일 및 내부의 파일명은 [표 1]과 같다.   [표 1] 랜섬웨어 유포에 이용된 압축파일 및 내부 파일   겉으로 보기에는 문서 파일의 아이콘만 보이고 실행파일의 확장자(.exe)가 보이지 않기 때문에 대부분의 사용자들은 해당 파일을 의심하기 어렵다. 사용자가 PDF 파일처럼 보이는 해당 파일을 실행하면 랜섬웨어가 동작하며, 감염 PC의 파일을 암호화한 후 파일의 확장자명을 아래와 같이 변경한다. 또한 [그림 1]과 같은 랜섬 노트를 노출한다.   •암호화된 파일명 예시: [랜덤8자].[helpdesk_makp@protonmail.ch].makop   [그림 1] 랜섬 노트   현재 V3 제품은 이와 관련된 악성코드를 다음과 같은 진단명으로 탐지하고 있다. 또한 행위기반기술을 이용해 해당 랜섬웨어의 동작을 차단하고 [그림 2]와 같은 알림창을 제공한다.   <V3 제품군 진단명>   - Trojan/Win32.RansomCrypt (2020.03.03.05) - Malware/MDP.Ransom.M1876 - Malware/MDP.Ransom.M1171   [그림 2] V3 행위기반 탐지 알림창   최근 사회공학기법을 이용해 사용자의 호기심을 유발하거나 심리적으로 압박하는 악성코드 공격이 계속되고 있다. 특히 이번 사례처럼 업무 관련 내용으로 위장한 이메일 공격이 계속되는 만큼 기업 내 임직원들의 각별한 주의가 요구된다.   의심스러운, 또는 일반적이지 않은 이메일을 수신 시 더욱 각별히 주의해야 하며, 업무와 관련된 것으로 보이는 이메일도 첨부 파일을 확인하거나 실행하기 전에 더욱 꼼꼼히 살펴보는 습관이 필요하다. 또한 V3의 엔진 버전을 최신 상태로 유지하고 실시간 검사 기능을 활성화(On)하는 것이 좋다.   최신 랜섬웨어에 관한 보다 자세한 내용은 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기