1,524 2017-01-13
개요
최근 신년을 맞이하여 연말정산 및 내부 지침사항 등과 같은 제목의 메일로 Venus Locker 랜섬웨어가 다량 유포가 되고 있습니다. 국내 공공기관 및 기업을 대상으로 발송된 악성 메일은 연말정산 안내와 내부 지침사항과 같은 제목으로 발송되고 있으며, *.doc로 위장한 실행 파일 (.exe)과 .doc, .lnk (바로 가기 파일) 등의 파일이 첨부되어, 실행 시 사용자 PC에 랜섬웨어 (Venus Locker) 감염을 유도하고 있습니다. 이에 따라 해당 랜섬웨어의 동작 방식과 피해 사례를 토대로 대응 방안을 안내드리고자 합니다. |
감염 증상
1) PC 내 문서 파일 암호화 2) 파일명 변조 · 영문 파일 (Random 파일명.Venusf or Venusp) · 한글 파일 (기존 파일명.Venusf or Venusp) 3) 암호화된 문서 파일의 복호화가 가능한 금전 요구 안내 페이지 표시 |
▶출처: blog.malwarebytes (2016.01.13)
4) 모든 파일이 암호화가 완료된 시점에서 72시간이 지난 후 암호해독 결제를 하지 않을 시 Venus Locker 서버의 개인 암호해독 키 삭제 |
동작 방식
· 수신된 메일에 내부 지침사항 등의 파일명으로 이루어진 암호 설정된 압축파일 첨부 · 첨부파일 다운로드, 메일 압축 해제 후 내부 지침사항 .doc .lnk (바로 가기) 실행할 경우 외부 공문 .doc 파일을 실행시키도록 구성 · PC 內 문서파일 임의 파일명 .venusf or 임의 파일명 .venusp으로 확장자 변경 및 암호화 · 랜섬웨어 웹브라우저를 통해 복호화 안내 페이지 표시 |
대응 방안
현재 성행하고 있는 대부분의 랜섬웨어는 국내를 대상으로 악의적으로 유포되고 있습니다. 따라서 後 조치 방식이 아닌 사전 대응 가능한 방안을 하기와 같이 안내드립니다. 1) 중요 문서 및 파일 정기적인 백업 2) 발신인이 명확한 E-Mail도 링크나 첨부파일을 열기 전 확인 3) 화이트리스트 기반의 차단솔루션의 도입으로 감염을 사전 예방 |
관련 자료