본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

비너스락커 조직, 또 다시 Makop 랜섬웨어 유포중

보안공지 2022-04-14



13일부터 이력서, 저작권 침해를 위장한 피싱 메일이 다수 유포되고 있어 사용자들의 주의가 필요합니다. 

 

비너스락커 조직은 2017년 부터 지속적으로 국내에 랜섬웨어를 유포중인 조직으로, 유포하는 랜섬웨어의 종류는 꾸준히 변화하고 있지만, 이력서, 저작권 위반 등의 내용을 위장한 피싱 메일을 통해 유포하는 방식은 동일합니다.  

 

지금 대량으로 유포중인 피싱 메일 역시 이력서, 저작권 침해 내용을 위장하고 있으며, 피싱 메일 내부에는 악성 파일이 첨부되어 있습니다. 

 

 

[그림 1] 이력서를 위장하여 유포중인 피싱 메일

 


첨부되어 있는 압축파일 내에는 한글, PDF 등의 파일을 위장한 랜섬웨어가 포함되어 있으며, 만일 사용자가 해당 파일을 정상파일로 오인하여 실행 시 랜섬웨어에 감염되게 됩니다. 

 

 

[그림 2] 첨부파일 실행 후 랜섬웨어에 감염된 화면

 

 

현재 유포되고 있는 랜섬웨어는 Makop 랜섬웨어로, 실행 후에는 사용자 파일 암호화 후 확장자명을 .noctua로 변경하며 랜섬머니를 요구합니다. 

 

2017년부터 지금까지 해당 조직은 이력서, 저작권 침해 관련 등 동일한 주제와 방식을 이용하여 랜섬웨어를 유포중이나, 그래도 여전히 많은 사용자들이 피해를 입고 있는 상황입니다. 

 

사용자 여러분들께서는 낯선 사람에게서 수신한 이메일에 포함되어 있는 첨부파일의 실행을 지양해 주시기 바라며, 파일 탐색기 내 파일 확장명 표시 기능을 활성화 하여 파일 실행 전 확장자를 확인하시는 습관을 길러야 겠습니다. 

 

 

[그림 3] 파일 확장명 활성화

 

 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Makop로 탐지중에 있습니다.