세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > Security
스팸 봇넷 통해 무작위로 유포되는 랜섬웨어 발견
  |  입력 : 2017-12-06 13:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
불특정 다수에게 이메일로 유포, 110만원 상당의 몸값 요구

[보안뉴스 권 준 기자] 불특정 다수를 대상으로 스팸 봇넷을 통해 이메일로 무작위로 배포되는 최신 변종 랜섬웨어 ‘글로브임포스터(GlobeImposter)’가 발견됐다.

▲‘글로브임포스터’ 랜섬웨어의 랜섬노트[이미지=하우리]


보안전문기업 하우리(대표 김희천)에 따르면 최근 스팸 봇넷을 통해 무작위로 불특정 다수에게 랜섬웨어가 포함된 이메일이 유포 중이라며 국내 PC 사용자들의 주의가 필요하다고 밝혔다.

이번에 발견된 랜섬웨어는 ‘글로브임포스터(GlobeImposter)’의 최신 변종 랜섬웨어로, 11월 중순 무렵부터 유포되기 시작하여 지금까지 활발히 유포 중이다.

기존에 록키(Locky), 재프(Jaff) 등의 랜섬웨어 유포에 활용된 ‘네커스(Necurs)’ 봇넷을 이용하여 유포되고 있다. 네커스 봇넷은 주로 악성파일이 첨부된 스팸메일을 불특정 다수에게 발송하여 전파하는데 활용되는 봇넷으로, 이번에 발견된 글로브임포스터 랜섬웨어는 록키 랜섬웨어처럼 메일에 첨부된 ‘VBS’ 스크립트를 실행하면 감염되는 것으로 알려졌다.

해당 랜섬웨어에 감염될 경우 사용자 PC에 존재하는 파일들을 암호화한 후 ‘..doc’ 확장자를 붙이며 ‘Read__ME.html’ 파일명의 랜섬노트를 생성하여 사용자가 몸값 비용을 낼 수 있도록 안내한다.

해당 랜섬노트는 구글 페이지 번역 기능을 이용하여 사용자 언어에 맞게 번역문이 제공되며 하나의 파일을 무료로 해독해주어 피해자가 비트코인을 지급하도록 유혹한다.

글로브임포스터 랜섬웨어의 최초 몸값은 0.086비트코인(한화 약 110만 원)이며 48시간이 지난 후에는 0.172비트코인(한화 약 220만 원)으로 인상하여 요구한다.

하우리 CERT실은 “이메일 첨부파일을 통한 랜섬웨어 유포 사례가 끊이질 않고 있다”며, “출처를 알 수 없는 이메일에 첨부된 파일은 절대 열람하지 않고 반드시 확인하는 습관을 지녀야 예방할 수 있다”고 밝혔다.

현재 하우리 바이로봇에서는 해당 랜섬웨어를 ‘Trojan.Win32.GlobeImposter’의 진단명으로 탐지 및 치료할 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)