안녕하세요? ESRC(이스트시큐리티 시큐리티 대응센터) 입니다.

이미지 저작권법 위배 안내로 위장한 메일을 통해 Makop 랜섬웨어가 지속적으로 유포되는 정황이 포착되어 일반 사용자와 기업 담당자들의 주의가 필요합니다.

만일 이용자가 최종 압축 파일에 있는 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’, ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe’을 클릭할 경우 파일 암호화 기능의 Makop 랜섬웨어가 실행됩니다. 

Makop 랜섬웨어는 파일 암호화 기능을 수행하는 악성코드로 암호화된 파일 뒤에 [임의 영문 8자리].[moloch_helpdesk@tutanota.com].moloch를 추가하고, 이후 복호화 안내를 위해 ‘readme-warning.txt’를 드롭합니다. 아래는 makop 랜섬웨어의 랜섬노트로 ‘moloch_helpdesk@tutanota.com’, ‘moloch_helpdesk@protonmail.ch’ 메일로 연락해달라는 내용을 담고 있습니다.

관련하여 2020년 12월 중순부터 금일 확인된 메일과 유사한 형태로 보내진 정보입니다. 특징적으로 송신자 이름을 (색상) + (엔젤, 드론, 망고 등)의 형태로 조합한 점, 첨부 파일 이름은 한국식 이름으로 되어있습니다. 이를 통해 지속적으로 비너스락커 조직이 국내를 대상으로 하고 있음을 알 수 있습니다.

[표 1] 2020년 12월 중순부터 보내진 유사 메일 종류

따라서 저작권이라는 민감한 소재로 사용자들에게 첨부파일을 실행시키도록 유도하기 때문에 불분명한 파일 실행을 하지 않는 등의 사용자들의 각별한 주의가 필요합니다. 또한 중요한 파일들은 정기적으로 외장 매체(USB, 외장HDD) 등에 백업해두는 습관이 필요합니다.

현재 알약에서는 'Trojan.Ransom.Makop'으로 진단하고 있습니다.