침해사고/위협동향

‘네머코드’ 확산 주의, 랜섬웨어 포함 악성 패키지 동반

디지털데일리 발행일 2016-08-23 14:26:44
최민지

[디지털데일리 최민지 기자] 이셋코리아(http://www.estc.co.kr 대표: 김남욱)는 랜섬웨어 등 각종 악성코드를 동반한 ‘네머코드’가 확산되고 있다고 23일 밝혔다.

지금까지 네머코드는 대표적인 랜섬웨어 다운로더 중 하나로 알려져 있었으나, 광고를 클릭했을 때 악성코드에 감염되는 광고-클리커 악성코드 ‘코브터(Kovter)’를 다운로드하는 사례가 다수 보고되고 있다.

이러한 현상은 랜섬웨어 감염 등 악성 다운로더를 이용한 공격 형태가 피해자에게 랜섬웨어 뿐 아니라 추가 악성코드를 포함하는 악성코드 패키지로 제공하는 형태로 발전되고 있다는 것을 보여주고 있다. 이 때 추가 악성코드는 랜섬웨어 활동에 대한 주의를 분산시키는 효과도 얻을 수 있다.

피해자는 먼저 실행 가능한 ‘.js’ 파일이 첨부된 이메일을 수신하게 되며, 이를 실행하면 5개의 파일을 한 번에 다운로드하게 된다. 2개는 이셋에 의해 ‘Win32/Kovter’ ‘Win32/Boaxxe’ 로 검출되는 광고-클리커 악성코드다. 3가지 파일들은 컴퓨터 내 중요한 파일들을 찾아 이를 암호화하는 랜섬웨어와 관련이 있다.

랜섬웨어가 실행되면 약 120개 종류의 확장자를 가진 파일들이 암호화되며 ‘.crypted’ 확장자로 변한다. 암호화가 완료되면 네머코드는 몸값 요청 텍스트 파일을 생성하게 된다.

김남욱 이셋코리아 대표는 “출처가 불분명한 이메일이나 웹사이트 접속을 자제하는 등의 기본적인 보안 활동이 필요하다”며 “스크립트가 포함된 이메일 유입을 차단하거나, 스크립트에 의한 추가 파일 다운로드 등의 행위를 차단하는 등의 보다 적극적인 대응과 방어가 필요하다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널

당신이 좋아할 만한 뉴스

많이 본 기사

연재기사

실시간 추천 뉴스