지속적으로 유포되는 '입사지원서/이력서 위장 Makop 랜섬웨어' 카지노리거 주의 (비너스락커 조직)

​

현재입사지원서,이력서를위장한Makop카지노리거가유포 중인정황이발견되어사용자들의주의가필요합니다.

이번에발견된카지노리거은“쾌활하고유능한사람입니다”라는제목으로수신되었으며,특정기관의인사/채용관계자를타깃으로발행된 것으로확인되었습니다.

카지노리거에첨부된압축파일내부에는이력서와입사지원서파일이포함되어있지만문서파일이아닌실행파일(EXE)로구성되어있는것이확인됩니다.

사용자가 압축 파일을 해제하여 PDF 아이콘으로 위장된 파일을 실행할 경우 카지노리거 행위를 수행합니다.

먼저, Windows 시점 복원을 방지하기 위해 명령 프롬프트(CMD)를 이용하여 볼륨 섀도를 삭제합니다.

이후현재사용자가사용 중인프로세스와관련된파일들을암호화시키기위해실행중인프로세스들을확인하고종료시킵니다.

msftesql.카지노리거, sqlagent.카지노리거, sqlbrowser.카지노리거, sqlservr.카지노리거, sqlwriter.카지노리거, oracle.카지노리거, ocssd.카지노리거, dbsnmp.카지노리거, synctime.카지노리거, agntsrvc.카지노리거, mydesktopqos.카지노리거, isqlplussvc.카지노리거, xfssvccon.카지노리거, mydesktopservice.카지노리거, ocautoupds.카지노리거, encsvc.카지노리거, firefoxconfig.카지노리거, tbirdconfig.카지노리거, ocomm.카지노리거, mysqld.카지노리거, mysqld-nt.카지노리거, mysqld-opt.카지노리거, dbeng50.카지노리거, sqbcoreservice.카지노리거, excel.카지노리거, infopath.카지노리거, msaccess.카지노리거, mspub.카지노리거, onenote.카지노리거, outlook.카지노리거, powerpnt.카지노리거, steam.카지노리거, thebat.카지노리거, thebat64.카지노리거, thunderbird.카지노리거, visio.카지노리거, winword.카지노리거, wordpad.카지노리거

프로세스를확인이종료되면사용자PC의파일들의암호화를진행합니다.
감염 시 “원본 파일명.[<Random 8자].[pecunia0318@airmail.cc].pecunia” 로 파일명이 변경됩니다.

파일암호화가종료되면복호화를위한결제안내메시지가담겨있는카지노리거노트를생성합니다.

이와 같이 출처가 불분명한 카지노리거에 첨부된 파일을 실행하면 악성코드에 감염이 될 수 있으며 소중한 정보가 암호화되는 최악의 상황이 될 수 있다. 따라서 확인되지 않은 카지노리거의 첨부 파일 실행을 지양해야 하며 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.

현재 알약에서는 'Trojan.Ransom.Makop'탐지 명으로 탐지 중입니다.