□ 개요
최근 국내외에 코로나19 확산에 따른 불안 심리를 이용하는 악성 메일 및 악성코드가 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.
□ 사례1. 코로나19 바이러스 정보 공유로 위장한 랜섬웨어 유포
파일명이 "Information on Travelers from Wuhan China to India.xlsx.exe"로 코로나19 관련 엑셀문서로 위장하고 있으며, 해당 파일의 마지막 확장자가 exe인 실행파일로 실행 시 VBS스크립트파일과 배치파일을 드롭하며, 사용자PC의 파일을 암호화한다.
[그림 1] 드롭된 파일과 랜섬노트
□ 사례2. 부팅장애 유발형(MBR 파괴) 코로나 바이러스 랜섬웨어
랜섬웨어 감염 시
파일명을 “coronaVi2022@protonmail.ch__(원본파일명).(원본확장자)”로 변경한 뒤 암호화를
진행하며, 부팅디스크명을 “CoronaVirus”로 변경한다.
[그림 2] 암호화된 파일 및 랜섬노트
[그림 3] 부팅디스크 이름 변경
각 폴더마다 'CoronaVirus.txt' 파일명을 가진 텍스트파일의 랜섬노트를 남긴다. 그리고 암호화가 끝나면 MBR영역을 파괴하고 재부팅을 진행하며, 정상적으로 부팅이 되지 않기 때문에 감염이 되지 않도록 더욱 주의해야 한다.
[그림 4] 랜섬노트 내용
최근 다양한 방법을 통해 코로나19 관련 악성코드가 유포되고 있으므로 의심스러운 파일일 경우 실행하기 전, 백신 프로그램으로 검사를 하거나 백신 업체에 문의하여 정상여부를 판단하는 것이 무엇보다 중요하다.
□ 바이로봇 업데이트 내역
Trojan.Win32.Ransom
Dropper.Agent
BAT.Ransom
※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html