최근 공정거래위원회를 사칭한 악성 메일로 소디노키비(Sodinokibi) 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.

이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.

[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일

실제 첨부파일 '전산 및 비전산자료 보존 요청서.egg'에는 2개의 PDF 파일로 위장한 악성 실행파일이 들어 있으며, 두 파일은 모두 긴 공백을 삽입하여 실행 파일(EXE)인 것을 속이려고 시도 하였습니다.

[그림 2] PDF 파일을 위장한 악성 실행 파일

만일 이용자가 해당 파일을 "부당 전자상거래 위반행위 안내" 및 "전산 및 비전산자료 보존 요청서" PDF 파일로 착각해 실행할 경우, 소디노키비 랜섬웨어에 감염됩니다.

[그림 3] 소디노키비 랜섬웨어에 감염된 PC 화면

소디노키비 랜섬웨어는 피해자 PC의 바탕화면을 파란색 화면으로 변경시키고 각 폴더마다 랜섬노트를 생성합니다.

랜섬노트에는 소디노키비 랜섬노트 특징인 "Welcome. Again"이라는 문구로 시작되는 것을 확인하실 수 있습니다.

[그림 4] 소디노키비 랜섬노트 화면

따라서 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

금일 발견된 악성 샘플과 관련된 IoC(침해지표)는 '쓰렛 인사이드(Threat Inside)' 서비스에서 확인하실 수 있습니다.

알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Sodinokibi'로 탐지 중입니다.