2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다.
2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와 같은 파일명 형태로 유포 중인 것으로 확인되었다.
- 사용중_이미지_200106(꼭 확인하시고 조치부탁드릴께요).exe
- 원본_200106(꼭 확인하시고 조치부탁드릴께요).exe
- 부당 전자상거래 위반행위 안내(20200106)자료 반드시 준비해주세요.exe
- 전산 및 비전산자료 보존 요청서(20200106)자료 반드시 준비해주세요.exe
2019.12.02 NEMTY 랜섬웨어 v2.2 국내발견!!
NEMTY 랜섬웨어 v2.2 국내발견!!
2019년 12월 02일 ASEC 분석팀은 NEMTY 랜섬웨어 버전이 2.0에서 2.2로 업데이트 되어 유포된 것을 발견하였다. '이력서' 또는 '부당 전자상거래 위반행위 안내' 로 위장한 유포방식을 포함해 감염제외 국가, 감염..
asec.ahnlab.com
Nemty 2.5 는 이전 버전과 동일하게 특정 프로세스 및 서비스를 종료 시킨 후 볼륨 쉐도우를 삭제하며 암호화를 진행한다. 해당 버전에서 달라진 점은 볼륨 쉐도우 삭제 명령어 중 "vssadmin.exe delete shadows /all /quiet" 명령어가 사라지고 powershell 명령어가 추가되었다.
또한 해당 랜섬웨어를 "daite drobovik" 이름으로 Run 키 등록하는 기능이 추가되었으며, 뮤텍스 이름이 "Vremya tik-tak... Odinochestvo moi simvol..." 로 변경되었다. 2.5 버전으로 업데이트된 랜섬노트는 아래와 같다.
Nemty 랜섬웨어는 해당 방식을 통해 꾸준하게 유포 중이므로 사용자는 의심스러운 이메일 및 첨부파일을 실행할 때 주의가 필요하다. 현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.
[파일 진단]
Trojan/Win32.MalPE (2020.01.06.03)
[메모리 진단]
Win-Trojan/MalPeP.mexp
[행위 진단]
Malware/MDP.SystemManipulation.M2599
'악성코드 정보' 카테고리의 다른 글
| [주의] 이력서 가장한 정보유출 악성코드 유포 중 (2020.01.23) (0) | 2020.01.23 |
|---|---|
| Antefrigus 랜섬웨어 변종 국내 발견 (CLICK_HERE-[랜덤].txt) (0) | 2020.01.17 |
| 이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) (0) | 2020.01.02 |
| 제작자와 채팅기능 유도의 신종 랜섬웨어 국내발견 (.RaaS 확장자) (0) | 2019.12.24 |
| [주의] 국내 은행 사칭 피싱메일에 의한 랜섬웨어 공격 (3) | 2019.12.20 |
댓글