청년 인턴 보도자료로 위장한 배트맨 와이즈 토토 주의

최근 ‘청년인턴 합격자 발표 내용의 보도자료’로 위장한 ‘청년인턴.pdf .exe’ 배트맨 와이즈 토토 악성 파일이 발견되어 이용자들의 주의를 당부드립니다. 특징적으로 공격자는 pdf가 아닌 pdx 아이콘을 사용하였는데, pdx 확장자는 어도비 아크로뱃 리더 인덱스 파일을 의미합니다.

[그림 1] PDX 아이콘으로 위장한 배트맨 와이즈 토토 파일

‘배트맨 와이즈 토토 인턴.pdf .exe’는 7Zip SFX로 되어 있고, C:\NewFolder\에 org.pdf, result.exe 파일을 드롭 및 실행합니다.

[그림 2] ‘배트맨 와이즈 토토 인턴.pdf .exe’ 파일 내부 화면

실행되는 ‘org.pdf’ 파일 내용은 아래와 같습니다.

[그림 3] ‘org.pdf’ 파일 내용

'result.exe'는 배트맨 와이즈 토토로 ‘%USERPROFILE%(C:\Users\[사용자 계정])’ 하위에 존재하는 아래의 확장자를 가지는 파일들을 암호화합니다. 암호화된 파일은 다른 배트맨 와이즈 토토와 달리 확장자 변경이 이루어지지 않습니다.

파일 암호화 이후, 바탕화면에 ‘README.txt’ 배트맨 와이즈 토토노트 파일을 드롭합니다. 배트맨 와이즈 토토노트를 통해 ‘oh_ransom_my_ransom@protonmail.com’으로 연락을 유도하는 내용을 담고 있습니다.

[그림 4] ‘README.txt’ 배트맨 와이즈 토토노트 파일 화면

따라서 악성코드 감염을 예방하기 위해, 출처가 불분명한 메일을 확인할 경우, 특히 첨부파일을 열어볼 경우에는 신중을 기해야 하며 백신 업데이트 최신화와 정기 검사를 습관화하여야 합니다. 또한 중요한 자료는 정기적으로 외장 매체나 클라우드 서비스 등에 백업해서 피해를 최소화할 수 있도록 해야합니다.

현재 알약에서는‘Trojan.Ransom.Filecoder’로 탐지 중입니다.