이력서 위장 '마콥 랜섬웨어' 주의!

이력서 위장 ‘마콥 랜섬웨어’ 주의! AhnLab ASEC 분석팀 l 2020-04-14         안랩(대표 강석균)은 4월 13일 ASEC 블로그를 통해 이력서로 위장해 유포 중인 ‘마콥(Makop) 랜섬웨어를 발견해 사용자의 주의를 당부했다.   이번에 발견된 마콥 랜섬웨어는 이메일의 압축 첨부파일 형태로 유포되며, 내부에는 한글 문서(hwp) 아이콘의 실행파일(exe)이 존재한다. 4월 13일자로 유포 중인 마콥 랜섬웨어의 이메일 첨부 파일명은 ‘포트폴리오(200413)_항상 무었을하던지 열심히 최선을다하겠습니다.exe’와 ‘이력서(200413)_항상 무었을하던지 열심히 최선을 다하겠습니다.exe’ 등이다. 이 두 가지 첨부 파일명을 보면 어눌한 한글과 띄어쓰기를 사용한 것을 알 수 있다. 이를 통해 악성코드 유포자는 한글 사용이 서툰 조직의 일원인 것으로 추정된다.   [그림 1] 유포 중인 마콥 랜섬웨어의 이메일 첨부 파일명   이 랜섬웨어에 감염되면 원본파일명감염.[랜덤8자].[akzhq412@protonmail.ch].makop 으로 파일명이 변경된다. 공격자는 암호화한 파일의 복호화 대가로 비트코인을 요구하고 있으며, 연락처로 2개의 이메일(akzhq412@protonmail.com or akzhq412@aol.com)을 제시하고 있다.   [그림 2] 마콥 랜섬웨어 랜섬노트   상반기 취업 시즌 노려 이력서로 위장한 메일 첨부파일로 유포되는 랜섬웨어가 지속적으로 발견되고 있다. 이러한 방식을 취하는 대표적인 랜섬웨어가 마콥 랜섬웨어와 넴티 랜섬웨어이며, 이들 랜섬웨어는 MalPe패커를 사용해 동일한 방식으로 꾸준하게 공격을 시도하고 있다.   현재 V3에서는 이 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.   <V3 제품군 진단명> • Trojan/Win32.MalPe.R332354   이 같은 랜섬웨어 감염을 방지하기 위해서는 ▲출처가 불분명한 메일의 첨부파일 실행 자제 ▲‘알려진 파일형식의 확장명 숨기기’ 설정 해제 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램의 최신 보안 패치 적용 ▲최신 버전 백신 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다.   해당 악성코드에 대한 상세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기