'#비너스락커'에 해당되는 글 1건

  1. 2017.01.03 국내 주요 기관을 겨냥한 랜섬웨어 유포 - 비너스락커(VenusLocker)

 

 

국내 주요 기관을 겨냥한 랜섬웨어 유포

 

 

▣ 전체 개요

 

국내 주요 기관(특XXX원, 대외XXXX원)으로 발송된 악성메일은 '2016년도  연말정산 안내', '2016년 연말정산 변경사항' 등의 제목으로 사용자의 랜섬웨어 감염을 유도하고 있다.  

 

 

▣ 비너스락커(VenusLocker) 랜섬웨어

 

감염 시 사용자의 문서 파일을 암호화하고 파일명을 (base64.Venusp) 로 변경한다.

 

 

악성메일의 내용은 아래와 같으며, 미리 확보된 특정기관의 직원 계정으로 발송되었다.메일 내용으로 볼때 한글의 오타가 없고, 첨부파일이 랜섬웨어라는 점이 APT 공격의 해킹메일과 다소 차이가 있다.

[악성메일의 내용]

 

 

아래와 같이 미리 확보한 발송자(kimminwoo0717@gmail.com) 구글 계정 정보로 악성 메일을 발송하였다.

[발송인 계정 정보]

 

 

첨부된 '2016년도 연말정산.zip' 파일의 압축을 해제하면 아래와 같은 파일이 포함되어 있다.

2016년도 연말정산.zip 

 

  -> 2016년도 연말정산 안내.doc

  -> 2016년 연말정산 변경사항.doc

  -> 2015년도 연말정산 내용.doc

 

 

악성문서의 매크로가 실행되면 랜섬웨어를 다운받아 실행되도록 만들어져 있다.

[악성문서에 포함된 매크로에 삽입되어 있는 난독화된 스크립트]

 

 

* 랜섬웨어 다운로드 주소 *

http://185.***.74.***/korea***.exe

 

 

또 다른 국내 기관에 발송된 악성메일이며, 수신자와 메일내용, 첨부파일명과 압축타입만 변경하고 특정 수신자에게 발송되었다.

[내부지침 사항이라는 제목으로 발송된 악성메일]

 

 

아래와 같이 미리 확보한 발송자(kimchanjoo0702@gmail.com) 구글 계정 정보로 악성 메일을 발송하였다.

 

 

 

비너스락커(VenusLocker) 랜섬웨어 감염 시 시스템에 출력되는 화면

[감염된 비너스락커(VenusLocker) 랜섬웨어]

 

 

 

※ 최근 APT 공격으로 악성코드를 제작하던 해커들이 랜섬웨어를 첨부하여 배포한 것으로 판단됨! 

※ 랜섬웨어는 복구가 불가능하므로 중요파일은 백업이 필수!!

※ 국내 주요 산업기관들과 기업들은 내부보안에 주의가 요구됨!!!

 

 

 

Posted by J0hn Doe


티스토리 툴바