최근 다양한 경로를 통해 유포되고 있는 신종 Locky (록키) 랜섬웨어로 인한 피해가 급증하고 있어 사용자의 각별한 주의가 요구되고 있다.
Locky 랜섬웨어는 주로 이메일 첨부파일에 가짜 송장 파일이나 급여 명세서와 같이 사용자의 호기심을 불러 일으키는 파일을 포함하여 사용자로 하여금 의심없이 파일을 실행하도록 하는 사회공학적 기법을 사용하여 유포된다.
이메일 첨부파일은 오피스 문서인 Excel(엑셀) 및 Word(워드) 파일 내 악성코드를 다운로드 하는 Macro(매크로) 를 포함하는 형태이며, 최근에는 악성코드를 다운로드 하는 스크립트 파일을 압축하여 ZIP 파일로 직접 첨부하는 형태로 제작되고 있다.
또한, Locky 랜섬웨어 감염 시 사용자의 시스템 뿐만 아니라 연결된 네트워크 드라이브를 스캔하여 추가 감염을 진행하기 때문에 전파 속도와 범위가 증가하고 있다.
아래의 [그림-1]은 최근 Locky 랜섬웨어 파일이 이메일 첨부파일로 유포되는 형태이며, 다음과 같이 발신자가 불분명한 메일을 수신할 경우 첨부파일을 열어보지 않도록 각별히 주의할 필요가 있다.
[그림-1] 이메일 첨부파일로 Locky 랜섬웨어가 유포되는 형태
[그림-2] 와 같이 이메일 내용 및 첨부된 파일명은 주로 급여 명세서나 송장을 위장하여 정상으로 보이지만, 실제 해당 압축파일 내에는 Locky 랜섬웨어를 다운로드 하는 스크립트 (JavaScript) 파일이 존재한다. 사용자가 의심없이 해당 파일을 실행할 경우 Locky 랜섬웨어 실행파일을 다운로드 하며, 이후 시스템 감염을 진행한다.
[그림-2] 첨부된 압축파일 내 포함된 스크립트 파일
아래의 [그림-3]은 최근 유포되고 있는 Locky 랜섬웨어의 전체 동작흐름을 나타낸다.
[그림-3] Locky 랜섬웨어 유포 경로
Locky 랜섬웨어에 감염되면 암호화한 파일의 확장자를 ".locky"로 변경하는 것이 특징이며, 시스템 감염이 완료되면 [그림-4]와 같이 암호화 된 파일을 복구하는 비용으로 비트코인 (BitCoin) 지불을 요구하는 내용의 그림 파일을 바탕화면으로 지정한다.
[그림-4] 감염 후 변경되는 바탕화면 이미지
Locky 랜섬웨어가 감염시키는 대상은 [표-1]과 같으며, 해당 드라이브의 모든 폴더와 파일 목록을 조회하여 감염 대상을 찾는다.
[표-1] Locky 랜섬웨어 감염 대상 드라이브
아래의 [표-2]는 암호화 대상으로 하는 파일의 확장자를 나타내며, 최근에는 한글파일 "hwp" 확장자가 추가되었다.
|
m4u |
001 |
002 |
003 |
004 |
005 |
006 |
007 |
008 |
009 |
010 |
011 |
|
123 |
3dm |
3ds |
3g2 |
3gp |
602 |
7z |
aes |
ARC |
asc |
asf |
asm |
|
asp |
Avi |
bak |
bat |
bmp |
brd |
bz2 |
c |
cgm |
class |
cmd |
cpp |
|
crt |
cs |
csr |
CSV |
db |
dbf |
dch |
dif |
dip |
djv |
djvu |
DOC |
|
docb |
docm |
docx |
DOT |
dotm |
dotx |
fla |
flv |
frm |
gif |
gpg |
gz |
|
h |
hwp |
ibd |
jar |
java |
jpeg |
jpg |
js |
key |
lay |
lay6 |
ldf |
|
m3u |
max |
mdb |
mdf |
mid |
mkv |
mml |
mov |
mp3 |
mp4 |
mpeg |
mpg |
|
ms11 |
MYD |
MYI |
NEF |
odb |
odg |
odp |
ods |
odt |
onetoc2 |
otg |
otp |
|
ots |
ott |
p12 |
PAQ |
pas |
|
pem |
php |
pl |
png |
pot |
potm |
|
potx |
ppam |
pps |
ppsm |
ppsx |
PPT |
pptm |
pptx |
psd |
pst |
qcow2 |
rar |
|
raw |
rb |
RTF |
sch |
sh |
sldm |
sldx |
slk |
sql |
stc |
std |
sti |
|
stw |
svg |
swf |
sxc |
sxd |
sxi |
sxm |
sxw |
tar |
tbk |
tgz |
tif |
|
tiff |
txt |
uop |
uot |
vb |
vbs |
vdi |
vmdk |
vmx |
vob |
wav |
wb2 |
|
wk1 |
wks |
wma |
wmv |
xlc |
xlm |
XLS |
xlsb |
xlsm |
xlsx |
xlt |
xltm |
|
xltx |
xlw |
xml |
zip |
SQLITEDB |
SQLITE3 |
wallet.dat |
|
|
|
|
[표-2] Locky 랜섬웨어 감염 대상 확장자
또한, [표-3]과 같이 Locky 랜섬웨어 감염에서 제외하는 대상도 존재한다.
이는 대부분 시스템 파일들로써, 비트코인 지불을 유도하는 그림파일과 텍스트 파일도 감염 대상에서 제외시킨다.
[표-3] Locky 랜섬웨어 감염 제외 대상
Locky 랜섬웨어 감염시 윈도우즈 볼륨 쉐도우(Windows Volume Shadow) 를 삭제하여 윈도우 시스템 복구가 불가능하도록 한다.
해당 Locky 랜섬웨어 파일은 V3 제품에서 다음 진단명으로 진단 가능하며, [그림-5]와 같이 랜섬웨어의 악의적인 동작을 탐지하여 추가 감염이 발생하지 않도록 차단하고 있다. 행위기반 진단은 시그니처 업데이트 없이 특정 행위만으로 진단하기에 효과적인 보안 기능을 제공할 수 있다.
- JS/Obfus.Gen
- JS/Nemucod
- JS/Downloader
- JS/Obfus.S1 ~ JS/Obfus.S16
- Win-Trojan/Lockycrypt.Gen
- Trojan/Win32.Locky
[그림-5] Locky 랜섬웨어 행위기반 진단
최근 급증하는 랜섬웨어 감염을 예방하기 위해 사용자의 각별한 주의가 요구되며, 발신자가 불분명한 이메일이나 의심스러운 첨부파일은 열어보지 않도록 주의를 기울일 필요가 있다.
APT 전문 대응 솔루션 ‘안랩 MDS’에 포함된 실행보류 기능(execution holding, 네트워크에서 발견된 의심파일을 분석이 끝나기 전까지 PC에서 실행되는 것을 막아주는 기능)으로 예방이 가능하다.
또한, 안랩은 Locky (록키) 랜섬웨어와 변종을 비롯한 다양한 랜섬웨어에 대한 정보를 ‘랜섬웨어 보안센터 (www.ahnlab.com/kr/site/securityinfo/ransomware/index.do#cont2) 에서 제공 중이다.
'악성코드 정보' 카테고리의 다른 글
| 음성으로 돈을 요구하는 Cerber 랜섬웨어 (0) | 2016.04.08 |
|---|---|
| Locky 랜섬웨어의 변화 (3가지) (0) | 2016.04.07 |
| 멀버타이징 애드웨어를 이용한 랜섬웨어 감염사례 (0) | 2016.01.15 |
| 검은 광산 작전 (Black Mine Operation) 분석 보고서 (0) | 2015.11.03 |
| 한글 제로데이 취약점을 이용한 악성코드 (0) | 2015.05.20 |
댓글