교육일정표 위장한 랜섬웨어 주의보

송고 2017.02.18 13:12 | 수정 2017.02.18 13:12
김언한 기자 (unhankim@ebn.co.kr)

기업 내부 지침·입사지원서·고소장 이어 교육일정 안내 위장 파일 등장

한글 맞춤 공격으로 진화

이스트시큐리티는 교육일정표로 위장한 랜섬웨어 파일첨부 이메일이 급속히 전파되고 있다며 사용자들의 주의가 필요하다고 18일 밝혔다.

이번 공격은 작년 말부터 국내 특정기관과 기업 임직원을 상대로 유포된 비너스락커 랜섬웨어 공격의 연장선인 것으로 분석된다.

공격은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 제공한다는 점을 악용한다.

윈도 운영체제의 기본 설정을 사용하는 사용자의 PC 폴더에서는 ‘신청서.doc.lnk’, ‘교육일정안내.doc.lnk’ 등 이중 확장자명으로 조작된 첨부 파일이 실제 확장자인 바로가기(*.lnk)가 생략된 형태로 보인다. 이를 첨부된 파일을 정상적인 문서나 사진 파일로 오인해 열람하도록 유도하는 방식이다.

실제로 공격자가 발송한 악성 이메일에는 일정표 등 사진 파일(*.jpg)로 확장자가 위장된 실행 파일과, 문서 파일(*.doc)로 보이도록 만든 바로가기(*.lnk) 파일이 압축 파일로 첨부돼있다.

메일 수신자가 첨부된 파일의 압축을 해제한 뒤 문서로 위장된 바로 가기 파일을 실행할 경우, 사진 파일로 위장된 실행 파일이 자동으로 작동해 비너스락커 최신 변종 랜섬웨어에 감염된다.

김준섭 이스트시큐리티 부사장은 “비너스락커 한국 맞춤형 랜섬웨어가 사이버 공격자들의 주요 돈벌이 수단이 되면서, 올해는 더욱 다양한 방식으로 발전된 랜섬웨어 공격이 계속될 것으로 보인다”며 “사진, 문서 등 자신의 소중한 자료를 지키기 위해서는 백신을 사용하고 자료룰 백업하는 등 사용자 스스로 보안 수칙을 준수하기 위한 노력을 기울여야 한다”고 당부했다.

현재 알약에서는 이번 피싱 공격에 사용된 악성 파일을 ‘Trojan.Ransom.VenusLocker’ 등의 이름으로 탐지 및 치료하고 있다.

USD$	1384.1	▲4.1
EUR€	1472.5	▲3.5
JPY¥	895.2	▲2.6
CNY¥	190.8	▲0.4

교육일정표 위장한 랜섬웨어 주의보

관련기사

전체 댓글 0

매매기준율