티스토리 뷰

최근 발칸 반도를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있어 사용자들의 각별한 주의가 요구된다.

 

최근에 보스니아, 헤르체고바나, 세르비아, 크로아티아를 대상으로 File Spider 랜섬웨어가 스팸 메일의 첨부 파일로 유포되고 있다. 스팸 메일에는 악성 워드 매크로 문서가 포함되어있으며, 매크로를 실행할 시 파워쉘스크립트가 동작하며 파일 dec.exe와 enc.exe가 다운로드된다. 

 

 

[그림 1] 악성 워드 매크로 문서

 

파일 dec.exe와 enc.exe는 %UserProfile%\AppData\Roaming\Spider에 다운로드된다. dec.exe는 decryptor GUI로 enc.exe가 암호화를 마칠 때까지 백그라운드에서 실행된다.

 

 

 

[그림 2] 파일 dec.exe와 enc.exe 생성 모습

 

해당 랜섬웨어는 파일 확장자를 ‘.spider’로 변경하여 암호화를 수행한다. 특히 암호화 파일 중에는 확장자 '.hwp'도 포함되어있다.

 

 

 

[그림 3] 파일 암호화

 

파일 암호화가 완료되면 %UserProfile%\AppData\Roaming\Spider에 files.txt와 5p1d3r 파일이 생성된다. file.txt 파일에는 암호화 되기 전에 원본 파일의 경로가 기록된다.

 

 

[그림 4] 파일 file.txt와 5p1d3r 생성 모습

 

랜섬웨어 감염 사실과 함께 토르 지불 사이트와 토르 사이트 로그인에 필요한 ID 코드, 복호화 키에 대해 안내한다.

 

 

[그림 5] 감염 사실을 알리는 페이지

 

피해자가 토르 사이트로 이동해서 ID 코드를 적은 뒤 로그인하면 복호화 키를 받기 위한 비트코인 지불 방법이 적혀 있는 Decryptor 페이지를 보여준다.

 

 

[그림 6] Decryptor

 

금번에 발견된 랜섬웨어는 발칸 반도를 대상으로 스팸 메일의 첨부 파일로 유포되었다. 향후 국내를 대상으로 유포될 수 있으니 국내 사용자들도 스스로 중요 문서에 대한 백업을 하는 등 각별한 주의가 요구된다.

 

 

□ 바이로봇 업데이트 내역  

Trojan.Win32.Ransom

 

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html

 

댓글
댓글쓰기 폼