HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

이력서로 유포되는 시그마 랜섬웨어 감염 주의
등록일 :
2018.03.29

□ 개요

최근 전세계를 대상으로 이력서 파일로 위장하여 유포중인 시그마랜섬웨어가 발견되고 있어, 특히 기업 인사 담당자들의 각별한 주의가 필요하다고 밝혔다.

 

□ 내용

시그마(Sigma)’ 랜섬웨어는 다양한 채용공고에 대한 입사 지원 형태로 랜섬웨어가 포함된 이력서 워드 문서 파일을 첨부하여 이메일을 통해 발송된다. 이메일의 지원 문구 및 지원자의 이름은 각기 다른 다양한 유형으로 발송된다. 현재 해당 랜섬웨어 이메일은 전세계를 대상으로 광범위하게 유포되고 있다.

 

 

[그림 1] 메일로 유포 중인 시그마 랜섬웨어

 

특히 이력서 워드 문서는 수신자가 파일에 대한 신뢰감을 가질 수 있도록 암호가 걸려있으며, 암호는 이메일 본문에 명시하여 암호를 입력한 사용자 만이 문서를 열람할 수 있도록 했다. 암호가 걸려있는 문서이기 때문에 문서를 사전에 열람하여 악성코드를 탐지하는 행위기반 자동 분석 시스템 등을 우회할 수 있다.

 

 

[그림 2] 시그마 랜섬웨어 감염 노트와 복호화 페이지

 

이력서 문서가 열람되면 매크로가 동작하여 특정 서버로부터 시그마랜섬웨어를 다운로드하여 실행한다. 랜섬웨어는 PC 내의 주요 파일들을 암호화하고 “ReadMe.html” 이라는 랜섬웨어 감염 노트를 생성하여 피해자가 몸값을 지불하도록 안내한다. 암호화 과정 중에 파일의 확장자는 변경하지 않기 때문에 파일이 암호화되었음을 인지하기 어렵다. 랜섬웨어는 복구 비용으로 약 400달러 상당의 비트코인을 요구한다.

 

 바이로봇 업데이트 내역

대표진단명 Trojan.Win32.Ransom

 

※ 랜섬웨어 감염 예방방법http://www.hauri.co.kr/Ransomware/prevention.html   

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top