비너스락커(VenusLocker) 혹은 모방조직, zipx 압축하이 로우 토토 사이트 형식을 이용하여 LockBit 3.0 랜섬웨어 유포중!

​

국내에 꾸준히 랜섬웨어를 유포중인 비너스락커(VenusLocker)조직(혹은 비너스락커 조직을 모방하는 조직)이 LockBit 랜섬웨어의 유포방식을 변경하였습니다.

​

[그림 1] 입사지원서를 위장하여 유포중인 피싱 메일

이번에도역시입사지원서를위장한이메일을통해유포하고있으나,기존과다르게.zipx형태의압축하이 로우 토토 사이트을첨부한것이특징입니다.

zipx하이 로우 토토 사이트포멧은WinZip에서개발한ZIP포맷의확장형식으로,압축해제를지원하는프로그램이적습니다.

압축해제를지원하는프로그램이적은형태를사용한것은,보안프로그램의탐지를우회하고자시도한것으로추정됩니다.

만일사용자가사용하는압축해제프로그램이zipx압축해제를지원하는하이 로우 토토 사이트이라면일반.zip하이 로우 토토 사이트처럼더블클릭만으로압축해제가가능합니다.

압축하이 로우 토토 사이트내부에는워드하이 로우 토토 사이트아이콘을위장한악성.exe하이 로우 토토 사이트과지원서하이 로우 토토 사이트명.jpg하이 로우 토토 사이트을위장한정상dll하이 로우 토토 사이트이포함되어있습니다.

​

[그림 2] 압축하이 로우 토토 사이트 내 첨부되어 있는 하이 로우 토토 사이트

사용자가 .exe 하이 로우 토토 사이트을 워드하이 로우 토토 사이트로 오인하여 실행하면 LockBit 3.0 랜섬웨어가 실행되며 사용자 PC내 하이 로우 토토 사이트들이 암호화 됩니다.

​

[그림 3] 감염 후 바탕화면 및 랜섬노트

LockBit 3.0 랜섬웨어는 22년 7월 초에 새로 등장한 버전으로, 8월 초 국내에서도 유포중인 정확이 확인되었습니다.

최근 다양한 형태로 랜섬웨어들이 많이 유포되고 있는 만큼, 사용자 여러분들께서는 수상한 하이 로우 토토 사이트 실행 전 반드시 확장자를 확인하시고, 중요 하이 로우 토토 사이트에 대해서는 주기적인 백업을 진행하시기를 바랍니다.

현재 알약에서는 해당 랜섬웨어에 대해Trojan.Ransom.LockBit로 탐지중에며, 유포 상황에 대해서도 지속적인 모니터링을 진행중에 있습니다.