HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 코로나19 바이러스로 위장한 랜섬웨어 배포 사례
등록일 :
2020.03.12

□ 개요

최근 국내외에 코로나19 확산에 따른 불안 심리를 이용하는 악성 메일 및 악성코드가 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.


 

□ 사례1. 코로나19 바이러스 정보 공유로 위장한 랜섬웨어 유포

파일명이 "Information on Travelers from Wuhan China to India.xlsx.exe"로 코로나19 관련 엑셀문서로 위장하고 있으며, 해당 파일의 마지막 확장자가 exe인 실행파일로 실행 시 VBS스크립트파일과 배치파일을 드롭하며, 사용자PC의 파일을 암호화한다.


[그림 1] 드롭된 파일과 랜섬노트


 

□ 사례2. 부팅장애 유발형(MBR 파괴) 코로나 바이러스 랜섬웨어

랜섬웨어 감염 시 파일명을 “coronaVi2022@protonmail.ch__(원본파일명).(원본확장자)” 변경한 뒤 암호화를 진행하며, 부팅디스크명을 “CoronaVirus”로 변경한다.


 

[그림 2] 암호화된 파일 및 랜섬노트


 


[그림 3] 부팅디스크 이름 변경


각 폴더마다 'CoronaVirus.txt' 파일명을 가진 텍스트파일의 랜섬노트를 남긴다. 그리고 암호화가 끝나면 MBR영역을 파괴하고 재부팅을 진행하며, 정상적으로 부팅이 되지 않기 때문에 감염이 되지 않도록 더욱 주의해야 한다. ​


 

[그림 4] 랜섬노트 내용


 

최근 다양한 방법을 통해 코로나19 관련 악성코드가 유포되고 있으므로 의심스러운 파일일 경우 실행하기 전, 백신 프로그램으로 검사를 하거나 백신 업체에 문의하여 정상여부를 판단하는 것이 무엇보다 중요하다.


 

 바이로봇 업데이트 내역

Trojan.Win32.Ransom

Dropper.Agent

BAT.Ransom

 

 

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html   

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top