분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] Nemty 랜섬웨어

TACHYON & ISARC 2020. 5. 12. 18:04

공정거래위원회를 사칭한 Nemty Ransomware 유포 주의

 

공정거래위원회를 사칭한 피싱 메일이 지속적으로 유포되고 있어 사용자의 주의가 필요하다.

첨부된 압축 파일(‘전산 및 비전산자료 보존 요청서.zip’)을 해제하면 내부에는 2개의 악성 파일이 존재한다. 해당 파일은 PDF 아이콘으로 위장한 정보 유출형 악성코드와 한글 문서 아이콘으로 위장한 ‘Nemty’ 랜섬웨어이다.

 

[ 그림  1]  공정거래위원회를 사칭한 악성 메일

 

 

[ 그림  2] PDF  아이콘으로 위장한 정보 유출형 악성코드와 한글 문서 아이콘으로 위장한  Nemty  랜섬웨어

 

사용자가 공정거래위원회 관련 파일로 착각해 한글 아이콘으로 위장한 ‘Nemty’ 랜섬웨어를 실행할 경우, 해당 랜섬웨어는 파일 암호화를 진행하고 암호화된 파일의 원본 확장명에 ‘NEMTY_XXXXXXX’ 형식으로 덧붙인 뒤, 바탕화면을 변경해 감염 사실을 알린다. 그리고 암호화가 진행된 폴더에 ‘NEMTY_ULVVYOU-DECRYPT.txt’ 랜섬 노트를 생성한다.

 

[ 그림  3]  파일 암호화

 

 

[그림 4] NEMTY_ULVVYOU-DECRYPT.txt 랜섬노트

 

또한 ‘Nemty’ 랜섬웨어와 함께 유포되는 정보 유출형 악성코드를 실행할 경우, 사용자의 시스템 정보와 웹 브라우저 및 FTP 클라이언트 등 저장된 계정정보를 수집해 C2 서버로 전송한다.

 

 

[그림  5]  사용자 정보 탈취

 

 이번 보고서에서 알아본 ‘Nemty’ 랜섬웨어는 정보 유출형 악성코드와 함께 공정거래위원회를 사칭한 피싱 메일로 꾸준하게 유포되고 있으며, 한글 문서 아이콘과 PDF 아이콘으로 위장해 사용자의 클릭을 유도하고 있어서 사용자의 지속적인 주의가 필요하다.

 

 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 출처가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야 한다. 또한 안티바이러스 제품을 설치하고 최신버전으로 업데이트 할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[ 그림  6] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0제품에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림  7] TACHYON Endpoint Security 5.0  진단 및 치료 화면