![[그림 1] 입사지원서로 위장한 피싱 이메일](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/c3c1d4e6-de39-4599-afbe-ff0386a64700/Untitled.png)
최근 이력서로 위장한 피싱 이메일을 통해 LockBit 2.0 랜섬웨어를 유포하는 사례가 꾸준히 발견되고 있다. [그림 1]은 최근 발견된 LockBit 2.0 피싱 이메일 샘플 중 하나이다. 해당 피싱 이메일은 입사지원 메일로 위장하고 있으며, 비밀번호가 걸린 압축 파일이 첨부되어 있다.
[그림 1] 입사지원서로 위장한 피싱 이메일
메일 본문에 기재된 비밀번호를 이용하여 첨부파일의 압축을 해제하면 LockBit 2.0 실행파일을 확인할 수 있다. 아이콘은 PDF로 위장하고 있으며, 파일 명에는 확장자를 숨기기 위해 빈 공백이 다량 포함되어 있다. 일반적인 사용자들은 자칫 PDF 파일로 오인하여 실행할 우려가 있으므로 주의가 필요하다.
![[그림 2] PDF 파일로 위장한 LockBit 2.0 실행파일](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/730bcb45-df5c-4f16-be39-b48ac9392a78/Untitled.png)
[그림 2] PDF 파일로 위장한 LockBit 2.0 실행파일
첨부파일 내 존재하는 LockBit 2.0 랜섬웨어가 실행되면 파일이 암호화되면서 확장자(.lockbit) 및 아이콘이 변경된다.
![[그림 3] 암호화된 파일의 확장자 및 아이콘 변경](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/3ef28b27-957f-4086-9652-4eed10f26ad0/Untitled.png)
[그림 3] 암호화된 파일의 확장자 및 아이콘 변경
또한, 바탕화면이 변조되고 복호화 안내를 위한 랜섬노트가 생성되기 때문에 감염 사실을 쉽게 인지할 수 있다.
![[그림 4] 바탕화면 변조](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/234d9a29-d3fb-40e4-aa3e-c9d0fb22924c/Untitled.png)
[그림 4] 바탕화면 변조
![[그림 5] 랜섬노트](https://s3-us-west-2.amazonaws.com/secure.notion-static.com/ea3498b2-5324-49e1-8e89-045c0e48b720/Untitled.png)
[그림 5] 랜섬노트
피싱 이메일의 첨부파일에서 확인된 LockBit 2.0 샘플 정보는 다음과 같다.