랜섬웨어

국내 공공기관 및 기업 대상의 랜섬웨어 'VenusLocker'

1,524    2017-01-13


개요  

최근 신년을 맞이하여 연말정산 및 내부 지침사항 등과 같은 제목의 메일로 Venus Locker 랜섬웨어가 다량 유포가 되고 있습니다. 

국내 공공기관 및 기업을 대상으로 발송된 악성 메일은 연말정산 안내와 내부 지침사항과 같은 제목으로 발송되고 있으며, *.doc로 위장한 실행 파일 (.exe)과 .doc, .lnk (바로 가기 파일) 등의 파일이 첨부되어, 실행 시 사용자 PC에 랜섬웨어 (Venus Locker) 감염을 유도하고 있습니다.

이에 따라 해당 랜섬웨어의 동작 방식과 피해 사례를 토대로 대응 방안을 안내드리고자 합니다.



감염 증상  

1) PC 내 문서 파일 암호화

2) 파일명 변조

· 영문 파일 (Random 파일명.Venusf or Venusp)

· 한글 파일 (기존 파일명.Venusf or Venusp)

3) 암호화된 문서 파일의 복호화가 가능한 금전 요구 안내 페이지 표시


▶출처: blog.malwarebytes (2016.01.13)


4) 모든 파일이 암호화가 완료된 시점에서 72시간이 지난 후 암호해독 결제를 하지 않을 시 Venus Locker 서버의 개인 암호해독 키 삭제



동작 방식 

  


· 수신된 메일에 내부 지침사항 등의 파일명으로 이루어진 암호 설정된 압축파일 첨부

· 첨부파일 다운로드, 메일 압축 해제 후 내부 지침사항 .doc .lnk (바로 가기) 실행할 경우 외부 공문 .doc 파일을 실행시키도록 구성

· PC 內 문서파일 임의 파일명 .venusf or 임의 파일명 .venusp으로 확장자 변경 및 암호화

· 랜섬웨어 웹브라우저를 통해 복호화 안내 페이지 표시 



대응 방안  

현재 성행하고 있는 대부분의 랜섬웨어는 국내를 대상으로 악의적으로 유포되고 있습니다.

따라서 後 조치 방식이 아닌 사전 대응 가능한 방안을 하기와 같이 안내드립니다.


1) 중요 문서 및 파일 정기적인 백업

2) 발신인이 명확한 E-Mail도 링크나 첨부파일을 열기 전 확인

3) 화이트리스트 기반의 차단솔루션의 도입으로 감염을 사전 예방



관련 자료   

Osiris 감염 및 차단 동영상 



댓글 : 0