[공감신문] 바로가기(*.lnk) 파일을 활용해 ‘비너스락커(Venus Locker)’ 변종 랜섬웨어 작동을 유도하는 신종 악성 이메일이 발견됐다.
 
이스트시큐리티 시큐리티대응센터에 따르면 이번 공격은 2016년 말부터 국내 특정 기관 및 기업 임직원을 상대로 유포된 비너스락커 랜섬웨어 공격의 연장선상으로 볼 수 있으며 최근 블로그 운영자들을 상대로 한 원격제어(RAT, Remote Administration Tool) 공격 역시 같은 방식이다.
 

공격자가 발송한 악성 이메일에는 신분증 등 사진 파일 형태(*.jpg)로 확장자가 위장된 실행 파일과 문서 파일(*.doc)로 보이도록 만든 바로가기(*.lnk) 파일이 포함된 압축 파일이 첨부돼 있다.

메일 수신자가 첨부된 파일의 압축을 해제한 뒤 문서 파일로 위장된 바로 가기 파일을 실행할 경우 사진 파일로 위장된 실행 파일이 자동으로 작동해 랜섬웨어에 감염된다.

특히 이번 공격은 윈도 운영체제(OS)가 ‘확장자명 숨김 처리’를 기본 설정으로 된 점을 악용해 ‘지원서.doc.lnk’, ‘룸사진2.jpg.lnk’ 등 이중 확장자명으로 파일을 조작하는 기법을 사용한 것으로 분석됐다.
 
윈도 운영체제의 기본 설정을 사용하는 사용자의 PC폴더에서는 이중 확장자명으로 조작된 첨부 파일이 실제 확장자인 바로가기(*.lnk)가 생략돼 ‘지원서.doc’ 등으로 보이기 때문에 정상적인 문서·사진 파일로 오인할 가능성이 커 각별한 주의가 필요하다.