□ 개요

최근 연말정산 문서 등으로 위장한 랜섬웨어 감염 시도가 확인되었다. 감염되는 랜섬웨어는 Venus Locker로 연말에 맞춘 키워드를 사용하여 국내 사용자들을 겨냥하고 있다. 특히 해당 악성 문서 파일들은 주요 국내 산업기반 시설을 겨냥하여 유포되고 있는 정황이 확인되어 큰 피해가 발생할 수 있으므로 주의가 필요하다.

□ 내용

현재 이메일을 통해 유포되고 있는 문서 파일들은 “2016년도 연말정산 안내”, “2016년 연말정산 변경사항”, “2016연말모임장소추천목록” 등의 이름으로 연말을 맞이한 국내 사용자들을 타겟으로 랜섬웨어 감염을 시도하고 있다.

[그림 1] 랜섬웨어 유포 문서를 유포하는 스팸 메일

유포되고 있는 문서 파일들은 매크로 악성코드로 매크로 기능을 활성화하면 문서 파일에 삽입되어있는 코드가 실행된다. 삽입되어있는 코드가 실행되면 추가 악성코드를 다운로드 하고 사용자의 PC를 감염시킨다. 금번 유포되고 있는 문서 파일들은 Venus Lokcer랜섬웨어를 다운로드하는 것으로 확인되었다.

[그림 2] 매크로 악성코드에 삽입된 다운로드 스크립트


[그림 3] Venus Locker 감염 후 결제 안내창

Venus Locker 랜섬웨어는 사용자의 파일을 암호화하고 암호화된 파일의 이름을 (base64 값).venusp 로 변경한다.

[그림 4] 암호화된 파일

금번 유포중인 악성 문서파일들은 사회공학적 기법을 사용하여 연말정산이나 연말 모임 등 연말을 맞이한 사용자들의 관심사로 이름을 변경하여 유포되고 있다. 사용자들이 쉽게 열어볼 가능성이 높은 만큼 랜섬웨어 감염 피해가 상당히 클 것으로 판단됨으로 각별한 주의가 필요하다.

□ 바이로봇 업데이트 내역

W97M.S.Downloader.36352.C

Trojan.Win32.S.VenusLocker.442880 외 다수

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html