본문 바로가기
악성코드 정보

새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01)

by AhnLab ASEC 분석팀 2020. 4. 2.

안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일 이름은 아래와 같이 '이력서', '포트폴리오', '부당 전자상거래 위반행위' 등의 문구를 사용하고 있어 기존과 크게 달라지지 않았다.

 

  • 전산 및 비전사자료 보존 요청서(20200401)_자료보존하셔서 차후 부당 이익을 피하세요.exe
  • 부당 전자상거래 위반행위 안내(20200401)_자료보존하셔서 차후 부당이익을 피하세요.exe
  • 이력서_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁 드릴께요.exe
  • 포트폴리오_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁드릴께요.exe

랜섬웨어 주요 기능상의 변화는 확인되지 않았지만, NEMTY v2.x과 다르게 감염 후 바탕화면도 변경되고 감염 제외 확장자, 폴더에 변화가 있었다. 또한, 네트워크가 되지 않는 환경에서는 감염도 이루어지지 않고, 바탕화면의 변화도 일어나지 않는다.

 

 NEMTY REVENUE 3.1 뮤텍스
감염 후 변경 된 바탕화면
NEMTY REVENUE 3.1 랜섬노트

 

사용자 정보 전송

 

Nemty v2.x와 다르게 log , program files (x86) , NEMTY, .mp3, .mp4, .NEPHILIM, .msi 감염 제외 폴더,파일명,확장자가  추가되었고, 제외 된 파일과 폴더도 존재한다. 국가를 확인하기는 하지만 감염 제외와 같은 코드는 사라졌다.

 

제외 폴더 및 파일명 windows, $RECYCLE.BIN, rsa, NTDETECT.COM, ntldr, MSDOS.SYS, IO.SYS, boot.ini, AUTOEXEC.BAT, ntuser.dat, desktop.ini, CONFIG.SYS, RECYCLER, BOOTSECT.BAK, bootmgr, programdata, appdata, Common Files, TorDir, program files, log , program files (x86) , NEMTY DECRYPT.txt
제외 확장자 .pif, .ttf, .url, .dll, .ini, .cpl, .com, .cmd, .cab, .log, .exe, .lnk, .mp3, .mp4, .NEPHILIM, .msi

 

Nemty v2.x 버전은 작년 11월부터 올해 3월 17일까지 꾸준하게 유포 되었으며, 4월 1일부터 업데이트 된 버전인 v3으로 사회공학 기법을 통해 꾸준하게 유포 되고 있다. 사용자는 의심스러운 이메일 및 첨부파일을 실행할 때 주의가 필요하며 현재 V3에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

 

[파일진단]

  • Trojan/Win32.MalPe (2020.04.01.05)

 

 

댓글0