NEMTY6 새로운 NEMTY 랜섬웨어 v3.1 국내 유포 중 (2020.04.01) 안랩 ASEC은 4월 1일 Nemty 랜섬웨어가 NEMTY REVENUE 3.1로 업데이트 되어 국내에 유포됨을 확인하였다. 유포 방식은 기존과 동일하게 이메일의 첨부파일 형태를 이용하였다. 현재까지 확인된 첨부파일 이름은 아래와 같이 '이력서', '포트폴리오', '부당 전자상거래 위반행위' 등의 문구를 사용하고 있어 기존과 크게 달라지지 않았다. 전산 및 비전사자료 보존 요청서(20200401)_자료보존하셔서 차후 부당 이익을 피하세요.exe 부당 전자상거래 위반행위 안내(20200401)_자료보존하셔서 차후 부당이익을 피하세요.exe 이력서_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁 드릴께요.exe 포트폴리오_김지명_열심히 열정적으로 최선을 다하겠습니다 잘 부탁드릴께요.exe 랜섬웨어 주요.. 2020. 4. 2. 이력서로 위장해 유포중인 NEMTY v2.6 발견(2020.03.17) ASEC 분석팀은 3월 17일 이력서로 위장한 NEMTY 랜섬웨어가 버전 2.6으로 업데이트 되어 유포 됨을 확인하였다. 2020년 1월 부터 3월까지 확인된 NEMTY 랜섬웨어의 버전은 2.5였다. 과거와 현재 모두 실제 이력서를 지원하는것 처럼 위장해 메일을 보내기 때문에 기업의 인사 담당자들이 특히 감염되기 쉬워 각별한 주의가 필요하다. 현재까지 확인된 유포에 사용된 파일명들은 다음과 같다. 포트폴리오(200317)_뽑아주시면 열심히하겠습니다.exe 입사지원서(200317)_뽑아주시면 열심히하겠습니다.exe 실제 유포에 사용된 이메일의 내용은 다음과 같다. 뮤텍스(Mutex) 이름을 제외하고는 기존에 유포되었던 NEMTY 2.5와 동일한 기능을 가진다. 해당 랜섬웨어 행위관련 상세한 내용은 아래 블.. 2020. 3. 18. 가짜 윈도우 화면과 함께 설치되는 신종 랜섬웨어 국내 발견(*.rezm 확장자) ASEC분석팀은 2020년 3월 2일 가짜 윈도우 업데이트 화면과 함께 설치되는 신종 랜섬웨어를 발견하였다. 해당 랜섬웨어는 기존 국내에 널리 유포되고 있는 Bluecrab, Nemty, Paradise 이름의 랜섬웨어와 동일한 패커(Packer)를 사용하여 유포 중이며 암호화된 파일은 확장자가 .rezm 이 추가되는 특징을 갖는다. 파일 실행 시 아래 주소에서 Fake 윈도우즈 업데이트 파일을 다운로드 받아 실행 되어, 사용자에게는 마치 윈도우즈 업데이트가 되는 듯한 화면을 보여준다. 그러나, 실제로는 랜섬웨어가 동작하여 사용자 컴퓨터 파일들을 감염 시킨다. http[:]//mopg.top/files/penelop/updatewin1.exe http[:]//mopg.top/Asjdi435784ihjk6.. 2020. 3. 2. 부당 전자상거래 위반행위 사칭하여 Nemty 2.5 랜섬웨어 유포 중 2020년 1월 6일 ASEC 분석팀은 Nemty 랜섬웨어가 2.5 버전으로 업데이트 되어 국내에 유포된 것을 확인하였다. 이전과 동일하게 공정거래위원회를 사칭하여 이메일 첨부파일 형태로 유포 중으로 추정되며, 첨부된 파일은 *.alz 형태의 압축파일이며 악성 실행파일을 포함하고 있다. (PDF 문서로 위장된 실행파일) 이러한 Nemty 랜섬웨어는 빠르게 변종이 제작되어 유포되고 있으며, VirusTotal의 시그니처 진단으로 탐지하지 않더라도 V3의 행위탐지, 프로세스 메모리검사 기능에 의해 실행 시점에 탐지 및 차단이 가능하다. 2018년 12월 30일에 유포된 것과 유사한 방식으로 이메일의 첨부파일 형태로 유포된 것으로 추정되며, 2020년 1월 6일에 아래와 같은 파일명 형태로 유포 중인 것으로 .. 2020. 1. 6. NEMTY 랜섬웨어 v2.2 국내발견!! 2019년 12월 02일 ASEC 분석팀은 NEMTY 랜섬웨어 버전이 2.0에서 2.2로 업데이트 되어 유포된 것을 발견하였다. '이력서' 또는 '부당 전자상거래 위반행위 안내' 로 위장한 유포방식을 포함해 감염제외 국가, 감염 대상, 감염 제외 파일, 폴더 모두 기존 NEMTY REVENGE 2.0과 동일하다. [유포 파일명] \강주경\이력서\포트폴리오.hwp.exe \강주경\이력서\이력서.hwp.exe \이시우\___\___.hwp.exe \장민우\___\___.hwp.exe 기존 버전과 달라진 점은 아래와 같이 뮤텍스 이름이 변경되었다. NEMTY 2.0 뮤텍스 이름: just_a_game NEMTY 2.2 뮤텍스 이름: just_a_little_game 2019.11.20 PDF 문서로 위장하여 .. 2019. 12. 2. 입사지원서로 위장해 유포중인 NEMTY 2.0 랜섬웨어 (지원서.hwp.exe) 2019년 11월 12일 안랩 ASEC분석팀은 NEMTY REVENGE 2.0 랜섬웨어가 이력서로 위장하여 국내 기업을 대상으로 유포된 것을 확인하였다. 해당 랜섬웨어의 1.x 버전의 경우 Tesorion 라는 업체에서 복호화 툴을 제작하여 공개한 이력이 있다. (https://www.tesorion.nl/nemty-update-decryptors-for-nemty-1-5-and-1-6/) 하지만, 현재 사회공학 기법을 통해 국내에 활발하게 유포중인 버전은 2.0으로 이 버전은 아직까지 복구툴이 제공되지 않고있어 사용자 주의가 요구된다. 해당 랜섬웨어 유포자는 아래의 그림과 같이 이력서를 가장해 이메일의 첨부파일 형태로 감염을 시도한다. 첨부된 압축파일("최혜은.7z") 내부에는 한글문서파일(.hwp)로.. 2019. 11. 12. 이전 1 다음
