이메일에 첨부된 압축파일 ‘HBDIN_386572.egg’ 내부에는 바로가기 파일로 위장한 ‘배송장.jpg’, ‘영수증.jpg’ 파일과 ‘페덱스지점안내.doc’이라는 문서 파일 확장자로 위장한 랜섬웨어 기능의 실행파일(.exe)로 구성돼 있다.
수신자가 이미지(.jpg) 파일로 위장된 바로가기 파일에 현혹돼 ‘배송장.jpg’ 파일이나 ‘영수증.jpg’ 파일을 실행하면 바로가기 내부 명령어가 작동해 ‘페덱스지점안내.doc’ 파일이 자동으로 실행된다. 이는 즉시 랜섬웨어 감염으로 이어진다. ‘페덱스지점안내.doc’ 파일을 가장 먼저 실행할 경우, 실제 정상적인 워드문서가 아니므로 정상적으로 감염되지는 않다. 하지만 바로가기 파일에 의해 ‘페덱스지점안내.doc’ 파일이 실행될 경우, 국내에서 사용하는 한글 문서(.hwp) 자료 뿐 아니라 각종 문서와 이미지, 동영상 파일 등 PC에 저장돼 있는 중요한 자료들이 암호화되는 피해를 입을 수 있다.
