2017년 12월 중순부터 Venuslocker에서 사용된 LNK(바로가기) 파일이 다시 비트코인 마이너와 함께 유포되고있어 사용자의 주의가 필요하다. 과거 Venuslocker에 사용된 LNK(바로가기) 파일은 국내에 ‘비너스 라커’로 알려진 랜섬웨어를 실행시키는 파일로 2017년 2월에 활발하게 유포되었다. 현재는 랜섬웨어가 아닌 Monero (XMR) 비트코인 마이너를 실행시키는 파일로 변경되었다.

[좌] 기존 Venuslocker - Ransom 파일명 : 이력서.jpg.lnk
[우] 현재 Venuslocker – Bitcoin 파일명 : 1`원본이미지_180106.jpg.lnk

과거 Venuslocker에 이용된 LNK(바로가기) 파일과 동일하다고 판단한 이유는 파일에 남아있는  Venuslocker의 특징 때문이다.

위 그림 상단에 있는 파일은 기존 Venuslocker - Ransom 파일로 ExtraDataBlock에  바탕화면 경로\VenusLocker_korean.exe 이 있는것이 특징 중 하나였다. 하단에 있는 파일은 현재 Venuslocker – Bitcoin 파일로  ExtraDataBlock에 동일한 hex값을 가지고 있음을 알 수 있다.

빨간 박스를 해석하면 ‘양진이’가 된다.

- C:\Users\l\Desktop\양진이\VenusLocker_koreans.exe


해당 악성코드는 스팸 메일에 압축 형태로 첨부되어 사용자들에게 전파되는 것으로 확인되었으며, 압축 파일에는 코인 마이너 파일과 코인 마이너를 실행하는 LNK(바로가기) 파일이 포함되어 있다. 특히 LNK(바로가기) 파일들은 *.doc 파일과 *.jpg 파일 아이콘으로 위장하고 있어 사용자가 아이콘을 실행하지 않도록 각별한 주의가 필요하다.


V3 제품군에서는 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- LNK/Venuslocker (2017.12.22.03)



Posted by 분석팀