□ 개요
해고 및 감면대상자 목록을 위장한 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 필요하다.
□ 내용
메일 내용에는 회사에서 정리 해고자와 급여 감면 대상자를 통보하는 것처럼 위장하여 불안감으로 첨부된 파일을 실행하도록 유도하고 있으며 메일에는 '해고 목록.zip' 이름으로 비밀번호가 설정된 압축파일 형태의 파일이 첨부되어 있다.
[그림 1] 해고 목록으로 위장한 메일
압축파일 내에는 해고 목록.js 파일이 포함되어 있으며 실행시 C:\User\(계정명)\(숫자5자리).exe 파일을 생성하고 시스템 내 사용자 파일을 암호화 한다.
[그림 2] 암호화된 파일
파일 암호화가 완료되면 바탕화면을 아래와 같이 변경한다.
랜섬노트에 포함된 웹사이트로 접속하면 암호화된 파일의 복구방법이 설명된 페이지로 접근이 가능하며 복구를 위해 7일 이내로 1300USD 상당의 비트코인을 요구한다.
최근 다양한 악성 메일을 통해 랜섬웨어 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야 한다.
□ 바이로봇 업데이트 내역
JS.S.Agent
※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html