지속적으로 유포되는 '입사지원서/이력서 위장 Makop 랜섬웨어' 메일 주의 (비너스락커 조직)
현재입사지원서,이력서를위장한Makop랜섬웨어가유포 중인정황이발견되어사용자들의주의가필요합니다.
이번에발견된메일은“쾌활하고유능한사람입니다”라는제목으로수신되었으며,특정기관의인사/채용관계자를타깃으로발행된 것으로확인되었습니다.
메일에첨부된압축파일내부에는이력서와입사지원서파일이포함되어있지만문서파일이아닌실행파일(바카라 체험머니)로구성되어있는것이확인됩니다.
사용자가 압축 파일을 해제하여 PDF 아이콘으로 위장된 파일을 실행할 경우 랜섬웨어 행위를 수행합니다.
먼저, Windows 시점 복원을 방지하기 위해 명령 프롬프트(CMD)를 이용하여 볼륨 섀도를 삭제합니다.
이후현재사용자가사용 중인프로세스와관련된파일들을암호화시키기위해실행중인프로세스들을확인하고종료시킵니다.
msftesql.바카라 체험머니, sqlagent.바카라 체험머니, sqlbrowser.바카라 체험머니, sqlservr.바카라 체험머니, sqlwriter.바카라 체험머니, oracle.바카라 체험머니, ocssd.바카라 체험머니, dbsnmp.바카라 체험머니, synctime.바카라 체험머니, agntsrvc.바카라 체험머니, mydesktopqos.바카라 체험머니, isqlplussvc.바카라 체험머니, xfssvccon.바카라 체험머니, mydesktopservice.바카라 체험머니, ocautoupds.바카라 체험머니, encsvc.바카라 체험머니, firefoxconfig.바카라 체험머니, tbirdconfig.바카라 체험머니, ocomm.바카라 체험머니, mysqld.바카라 체험머니, mysqld-nt.바카라 체험머니, mysqld-opt.바카라 체험머니, dbeng50.바카라 체험머니, sqbcoreservice.바카라 체험머니, excel.바카라 체험머니, infopath.바카라 체험머니, msaccess.바카라 체험머니, mspub.바카라 체험머니, onenote.바카라 체험머니, outlook.바카라 체험머니, powerpnt.바카라 체험머니, steam.바카라 체험머니, thebat.바카라 체험머니, thebat64.바카라 체험머니, thunderbird.바카라 체험머니, visio.바카라 체험머니, winword.바카라 체험머니, wordpad.바카라 체험머니
프로세스를확인이종료되면사용자PC의파일들의암호화를진행합니다.
감염 시 “원본 파일명.[<Random 8자].[pecunia0318@airmail.cc].pecunia” 로 파일명이 변경됩니다.
파일암호화가종료되면복호화를위한결제안내메시지가담겨있는랜섬노트를생성합니다.
이와 같이 출처가 불분명한 메일에 첨부된 파일을 실행하면 악성코드에 감염이 될 수 있으며 소중한 정보가 암호화되는 최악의 상황이 될 수 있다. 따라서 확인되지 않은 메일의 첨부 파일 실행을 지양해야 하며 백신의 실시간 감시를 사용하고, 정기적인 검사를 습관화하여야 합니다.
현재 알약에서는 'Trojan.Ransom.Makop'탐지 명으로 탐지 중입니다.