본문 바로가기
악성코드 정보

Nemty Special Edition 버전 유포중 (복원가능)

by 분석팀 2020. 5. 20.

 ASEC 분석팀은 518Nemty 랜섬웨어가 Special Edition 버전으로 유포되고 있는 것을 확인하였다. 유포 방식은 기존과 동일하게 pdf 파일로 위장하였으며, 이력서’ 문구 외 '이미지 무단 사용' 문구가 추가되어 유포되었다. 또한 랜섬웨어 기능에도 작은 변화가 생겼다. 랜섬웨어 기능 중 볼륨 쉐도우 삭제 명령어가 사라졌으며 랜섬노트 및 바탕화면이 변경되었다.

 

[유포 파일명]

  • \성지영\이력서\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
  • \이재희\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
  • \김용우\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
  • \한영철\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
  • \송택승\이력서\지원서_200518(뽑아주시면 열심히하겠습니다 잘부탁드리겠습니다).exe
  • \이미지 무단사용 내용\사용중이미지(꼭 확인하시고 조치부탁드릴께요 감사합니다).exe
  • \이미지 무단사용 내용\원본이미지(꼭 확인하시고 조치부탁드릴께요 감사합니다).exe

 

 Nemty 3.1 버전까지는 파일을 암호화하기 전, 볼륨 쉐도우 삭제 명령어를 실행하여 PC 복구를 무력화하였다. 하지만 업데이트된 Special Edition 버전에서는 해당 명령어가 사라져 윈도우 운영체제의 시스템 복원 기능을 사용하여 복구가 가능함을 확인하였다. 복구는 시스템 복원에서 백업되는 폴더의 경로만 복구가 가능하다.

Nemty v3.1 - 볼륨 쉐도우 삭제 명령어

 

아래 그림은 이전 Nemty 에서 볼륨 쉐도우가 삭제되어 시스템 복원 및 파일 복구가 불가능한 모습이다.

복구 불가능 - Nemty 3.1 이전

 

아래 그림은 Special Edition 버전으로 실행시, 시스템 복원 및 파일 복구가 가능한 모습이다.

복구 가능 - Nemty Special Edition
복구된 파일

볼륨쉐도우 삭제 명령어 외의 기능과 감염 제외 목록은 이전과 동일하며, 감염 후 바탕화면 및 랜섬노트가 아래와 같이 변경되었다.

 

2020/04/02 - [악성코드 정보] - 새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01)

 

새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01)

안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일

asec.ahnlab.com

감염 후 바탕화면
랜섬노트

 Nemty 랜섬웨어는 위장을 통한 유포 방식으로 1년이 넘는 기간동안 꾸준하게 유포되고 있으므로 사용자의 큰 주의가 필요하다. 현재 V3 에서는 이와 같은 랜섬웨어를 다음과 같은 진단명으로 진단하고 있다.

 

[파일진단]

Malware/Win32.Generic.C4102660 (2020.05.20.08)

 

[행위진단]

Malware/MDP.Ransom.M1171

 

 

댓글