비너스락커 조직, 이력서를 토토 보증 업체 Makop 랜섬웨어 지속적 유포중

​

비너스락커 조직이이력서를 토토 보증 업체 Makop랜섬웨어를 지속적으로 유포하고 있으며, 다만토토 보증 업체를 첨부하는 형태가 조금씩 바뀌고 있습니다.

이번에 발견된 악성 메일 역시 이력서를 토토 보증 업체고 있습니다.

얼마 전 ESRC에서 포스팅 한비너스락커 조직 관련 포스팅역시 이력서를 위장하고 있었습니다. 당시 악성 메일에 첨부되어 있는 압축 파일 내에는, 한글 파일로 위장한 Makop 토토 보증 업체가 포함되어 있어 사용자들의 클릭을 유도하였습니다.

이번에 발견된 악성 메일 내에도 역시 첨부파일이 포함되어 있습니다.

다만, 이번에는 압축파일을 또 한번 압축한 이중압축 방식을 이용하여 보안시스템을 우회하고자 하였습니다.

zip 파일 안에 있는 alz 파일 내에는 이력서를 토토 보증 업체한 .exe 파일과 .jpg 파일이 포함되어 있습니다.

만약 사용자가 이력서를 위장한 .exe 파일을 실행하면 Makop 토토 보증 업체가 실행됩니다.

파일이실행되면Windows시점복원방지를위해명령프롬프트(CMD)를이용하여볼륨섀도를삭제하며,현재사용자가사용중인프로세스와관련파일들을암호화시키기위해실행중인프로세스들을확인후암호화행위를시작합니다.

암호화 후 파일 확장자를 [CD59D479].[baseus0906@goat.si].baseus으로 변경하며 'readme-warning.txt' 제목의 랜섬노트를 띄웁니다.

이번에 발견된 악성 메일의 특징은 다음과 같습니다.

- 이중압축 사용

- Makop토토 보증 업체 확장자([baseus0906@goat.si].baseus)변경

이중압축을 통한 악성코드의 공격을 방지하기 위하여, 알약 사용자여러분들께서는 알약 실시간감시 - 상세설정 - 압축파일 검사를 설정 해 놓는 것을 권장 드립니다.

현재 알약에서는 해당 토토 보증 업체에 대하여Trojan.Ransom.Makop로 탐지중에 있습니다.