‘추석’ 키워드로 유포중인 위너 토토 주의!
민족 최대 명절인 추석을 앞두고, 추석을 키워드로 한 위너 토토가 유포 중에 있어 사용자들의 각별한 주의가 요구됩니다.
이번에 발견된 위너 토토는 '추석_이벤트_당첨'이라는 파일명으로 유포 중에 있습니다. 배포 방식은 아직 확인되지 않았으나 피싱 메일을 통한 유포로 추정되고 있습니다.
'위너 토토_이벤트_당첨.zip'파일내에는2개의.pdf파일을위장한실행파일(.exe)이포함되어있습니다.
압축위너 토토 내 2개의 위너 토토이 포함되어 있지만, 실제로는 동일한 위너 토토입니다.
만일 사용자가 해당 파일들을 실제 .pdf 파일로 오인하여 실행한다면, Penta 위너 토토가 실행되게 됩니다.
Penta 위너 토토가 실행되면 다음과 같은 순서로 악성행위를 합니다.
1. 중복 실행 확인
현재실행되고있는프로세스확인을통하여중복실행을방지합니다.
2.자가복제및시작프로그램등록
%appdata% 경로에 ‘hi.exe’ 위너 토토명으로 자가복제하며, 시작 프로그램 폴더 내 바로가기 아이콘을 추가하여 PC 실행 시 자동으로 실행되도록 합니다.
3.복구무력화
커맨드명령을통하여볼륨섀도복사본및백업카탈로그삭제등행위를하여사용자가복구를할수없도록합니다.
vssadmindeleteshadows/all/quiet&wmicshadowcopydelete | 볼륨섀도우복사본삭제 |
bcdedit/set{default}bootstatuspolicyignoreallfailures&bcdedit/set{default}recoveryenabledno | 윈도우오류복구알림비활성화, 윈도우복구모드비활성화 |
wbadmindeletecatalog-quiet | 백업카탈로그삭제 |
4.위너 토토암호화
그후위너 토토암호화를진행합니다.
암호화대상확장자및폴더는다음과같습니다.
암호화확장자목록
.jpg,.png,.jpeg,.bmp,.raw,.gif,.mp3,.mp4,.mov,.avi,.m4a,.hwp,ppt,.pptx,.doc,.docx,.xls,.xlsx,.zip,.rar,.egg,.url,.7z
암호화 폴더 목록
Desktop, Links, Contacts, Documents, Downloads, Pictures, Music, OneDrive, Saved Games, Favorites, Searches, Videos, %appdata%
파일암호화후확장자를[기존파일명.확장자].PENTA로변경하며,‘PENTA_README.txt’파일명을가진위너 토토노트를띄웁니다.
위너 토토노트에는파일복호화를위해pentros30@protonmail.com이메일로연락하라는내용이포함되어있습니다.
긴위너 토토연휴만큼위너 토토기간동안다양한사이버위협이지속될것으로예상됩니다.
사용자여러분들께서는출처가불분명한사용자에게서수신된이메일의클릭을지양해주시고,만약이메일확인후첨부위너 토토을실행해야한다면반드시위너 토토확장자를확인하시는습관을길러야하겠습니다.
현재알약에서는해당위너 토토에대해Trojan.Ransom.Filecoder로 탐지중이며, 알약 행위기반 사전차단 기능에서도 정상적으로 차단중 입니다.
