ASEC 분석팀은 5월18일 Nemty 랜섬웨어가 Special Edition 버전으로 유포되고 있는 것을 확인하였다. 유포 방식은 기존과 동일하게 pdf 파일로 위장하였으며, ‘이력서’ 문구 외 '이미지 무단 사용' 문구가 추가되어 유포되었다. 또한 랜섬웨어 기능에도 작은 변화가 생겼다. 랜섬웨어 기능 중 볼륨 쉐도우 삭제 명령어가 사라졌으며 랜섬노트 및 바탕화면이 변경되었다.
[유포 파일명]
- \성지영\이력서\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
- \이재희\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
- \김용우\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
- \한영철\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
- \송택승\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
- \이미지 무단사용 내용\사용중이미지(꼭 확인하시고 조치부탁드릴께요 감사합니다).exe
- \이미지 무단사용 내용\원본이미지(꼭 확인하시고 조치부탁드릴께요 감사합니다).exe
Nemty 3.1 버전까지는 파일을 암호화하기 전, 볼륨 쉐도우 삭제 명령어를 실행하여 PC 복구를 무력화하였다. 하지만 업데이트된 Special Edition 버전에서는 해당 명령어가 사라져 윈도우 운영체제의 시스템 복원 기능을 사용하여 복구가 가능함을 확인하였다. 복구는 시스템 복원에서 백업되는 폴더의 경로만 복구가 가능하다.
아래 그림은 이전 Nemty 에서 볼륨 쉐도우가 삭제되어 시스템 복원 및 파일 복구가 불가능한 모습이다.
아래 그림은 Special Edition 버전으로 실행시, 시스템 복원 및 파일 복구가 가능한 모습이다.
볼륨쉐도우 삭제 명령어 외의 기능과 감염 제외 목록은 이전과 동일하며, 감염 후 바탕화면 및 랜섬노트가 아래와 같이 변경되었다.
2020/04/02 - [악성코드 정보] - 새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01)
Nemty 랜섬웨어는 위장을 통한 유포 방식으로 1년이 넘는 기간동안 꾸준하게 유포되고 있으므로 사용자의 큰 주의가 필요하다. 현재 V3 에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.
[파일진단]
Malware/Win32.Generic.C4102660 (2020.05.20.08)
[행위진단]
Malware/MDP.Ransom.M1171
'악성코드 정보' 카테고리의 다른 글
부동산 투자관련 메일로 유포 중인 한글 악성코드 (EPS사용) (0) | 2020.05.25 |
---|---|
코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자) (0) | 2020.05.22 |
코인업체 인력모집 양식 가장한 워드문서로 악성코드 유포 중 (0) | 2020.05.14 |
코인 지갑 주소를 변경하는 악성코드 유포 중 (Clipbanker) (2) | 2020.05.11 |
국내 대형 게임업체 인증서 도용 악성코드, 문서 통해 유포 (0) | 2020.05.08 |
댓글