입사지원서를 위장하여 유포중인 LockBit 위너 토토 주의!

​

금일오후부터,입사지원서를위장하여LockBit위너 토토가대량으로유포중에있어사용자들의주의가필요합니다.

피싱 메일은 입사지원서를 위장하여 유포중에 있으며, 최선을 다하겠다는 내용과 함께 비밀번호가 포함된 압축파일이 첨부되어 있습니다.

여러개의 샘플 중,'입사지원서_220209(이력사항도 같이 기재하였습니다 잘부탁드립니다).' 파일명으로 위너 토토 샘플을 확인해 보았습니다.

해당 샘플은 한글 아이콘으로 위장하고 있어 사용자로 하여금 실행하도록 유도합니다. 만일,사용자가해당파일을실제한글파일로오인하여실행한다면위너 토토가실행됩니다.

LockBit위너 토토가실행되면먼저다음명령어들을통하여사용자PC의복원기능을무력화시킵니다.

vssadmindeleteshadows/all/quiet
wmicshadowcopydelete
bcdedit/set{default}bootstatuspolicyignoreallfailures
bcdedit/set{default}recoveryenabledno

이후,사용자파일암호화를진행하며,암호화후기존파일명.lockbit으로변경하며,Restore-My-Files.txt파일명을가진위너 토토노트를띄웁니다.

Makop위너 토토를유포하던비너스락커조직이,최근부터LockBit위너 토토를유포하기시작하였습니다.

사용자여러분들께서는의심스러운사용자에게서온이메일의첨부파일열람을지양해주시고,파일을실행하기전파일확장자를반드시확인하시고실행하시기바랍니다.

현재 알약에서는 해당 위너 토토에 대해 Trojan.Ransom.LockBit로 탐지중에 있습니다.