비너스락커(VenusLocker) 혹은 모방조직, zipx 압축와이즈 토토 형식을 이용하여 LockBit 3.0 랜섬웨어 유포중!

​

국내에 꾸준히 랜섬웨어를 유포중인 비너스락커(VenusLocker)조직(혹은 비너스락커 조직을 모방하는 조직)이 LockBit 랜섬웨어의 유포방식을 변경하였습니다.

​

[그림 1] 입사지원서를 위장하여 유포중인 피싱 메일

이번에도역시입사지원서를위장한이메일을통해유포하고있으나,기존과다르게.zipx형태의압축와이즈 토토을첨부한것이특징입니다.

zipx와이즈 토토포멧은WinZip에서개발한ZIP포맷의확장형식으로,압축해제를지원하는프로그램이적습니다.

압축해제를지원하는프로그램이적은형태를사용한것은,보안프로그램의탐지를우회하고자시도한것으로추정됩니다.

만일사용자가사용하는압축해제프로그램이zipx압축해제를지원하는와이즈 토토이라면일반.zip와이즈 토토처럼더블클릭만으로압축해제가가능합니다.

압축와이즈 토토내부에는워드와이즈 토토아이콘을위장한악성.exe와이즈 토토과지원서와이즈 토토명.jpg와이즈 토토을위장한정상dll와이즈 토토이포함되어있습니다.

​

[그림 2] 압축와이즈 토토 내 첨부되어 있는 와이즈 토토

사용자가 .exe 와이즈 토토을 워드와이즈 토토로 오인하여 실행하면 LockBit 3.0 랜섬웨어가 실행되며 사용자 PC내 와이즈 토토들이 암호화 됩니다.

​

[그림 3] 감염 후 바탕화면 및 랜섬노트

LockBit 3.0 랜섬웨어는 22년 7월 초에 새로 등장한 버전으로, 8월 초 국내에서도 유포중인 정확이 확인되었습니다.

최근 다양한 형태로 랜섬웨어들이 많이 유포되고 있는 만큼, 사용자 여러분들께서는 수상한 와이즈 토토 실행 전 반드시 확장자를 확인하시고, 중요 와이즈 토토에 대해서는 주기적인 백업을 진행하시기를 바랍니다.

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다.