최근 다양한 경로를 통해 유포되고 있는 신종 Locky (록키) 랜섬웨어로 인한 피해가 급증하고 있어 사용자의 각별한 주의가 요구되고 있다. 


Locky 랜섬웨어는 주로 이메일 첨부파일에 가짜 송장 파일이나 급여 명세서와 같이 사용자의 호기심을 불러 일으키는 파일을 포함하여 사용자로 하여금 의심없이 파일을 실행하도록 하는 사회공학적 기법을 사용하여 유포된다.

이메일 첨부파일은 오피스 문서인 Excel(엑셀) Word(워드) 파일 내 악성코드를 다운로드 하는 Macro(매크로) 를 포함하는 형태이며, 최근에는 악성코드를 다운로드 하는 스크립트 파일을 압축하여 ZIP 파일로 직접 첨부하는 형태로 제작되고 있다. 

또한, Locky 랜섬웨어 감염 시 사용자의 시스템 뿐만 아니라 연결된 네트워크 드라이브를 스캔하여 추가 감염을 진행하기 때문에 전파 속도와 범위가 증가하고 있다.


아래의 [그림-1]은 최근 Locky 랜섬웨어 파일이 이메일 첨부파일로 유포되는 형태이며, 다음과 같이 발신자가 불분명한 메일을 수신할 경우 첨부파일을 열어보지 않도록 각별히 주의할 필요가 있다.

[그림-1] 이메일 첨부파일로 Locky 랜섬웨어가 유포되는 형태


[그림-2] 와 같이 이메일 내용 및 첨부된 파일명은 주로 급여 명세서나 송장을 위장하여 정상으로 보이지만, 실제 해당 압축파일 내에는 Locky 랜섬웨어를 다운로드 하는 스크립트 (JavaScript) 파일이 존재한다. 사용자가 의심없이 해당 파일을 실행할 경우 Locky 랜섬웨어 실행파일을 다운로드 하며, 이후 시스템 감염을 진행한다.

[그림-2] 첨부된 압축파일 내 포함된 스크립트 파일


아래의 [그림-3] 최근 유포되고 있는 Locky 랜섬웨어 전체 동작흐름을 나타낸다.

[그림-3] Locky 랜섬웨어 유포 경로


Locky 랜섬웨어에 감염되면 암호화한 파일의 확장자를 ".locky"로 변경하는 것이 특징이며, 시스템 감염이 완료되면 [그림-4]와 같이 암호화 된 파일을 복구하는 비용으로 비트코인 (BitCoin) 지불을 요구하는 내용의 그림 파일을 바탕화면으로 지정한다.

[그림-4] 감염 후 변경되는 바탕화면 이미지


Locky 랜섬웨어가 감염시키는 대상은 [표-1]과 같으며, 해당 드라이브의 모든 폴더와 파일 목록을 조회하여 감염 대상을 찾는다.

[표-1] Locky 랜섬웨어 감염 대상 드라이브


아래의 [표-2]는 암호화 대상으로 하는 파일의 확장자를 나타내며, 최근에는 한글파일 "hwp" 확장자가 추가되었다.

m4u

001

002

003

004

005

006

007

008

009

010

011

123

3dm

3ds

3g2

3gp

602

7z

aes

ARC

asc

asf

asm

asp

Avi

bak

bat

bmp

brd

bz2

c

cgm

class

cmd

cpp

crt

cs

csr

CSV

db

dbf

dch

dif

dip

djv

djvu

DOC

docb

docm

docx

DOT

dotm

dotx

fla

flv

frm

gif

gpg

gz

h

hwp

ibd

jar

java

jpeg

jpg

js

key

lay

lay6

ldf

m3u

max

mdb

mdf

mid

mkv

mml

mov

mp3

mp4

mpeg

mpg

ms11

MYD

MYI

NEF

odb

odg

odp

ods

odt

onetoc2

otg

otp

ots

ott

p12

PAQ

pas

pdf

pem

php

pl

png

pot

potm

potx

ppam

pps

ppsm

ppsx

PPT

pptm

pptx

psd

pst

qcow2

rar

raw

rb

RTF

sch

sh

sldm

sldx

slk

sql

stc

std

sti

stw

svg

swf

sxc

sxd

sxi

sxm

sxw

tar

tbk

tgz

tif

tiff

txt

uop

uot

vb

vbs

vdi

vmdk

vmx

vob

wav

wb2

wk1

wks

wma

wmv

xlc

xlm

XLS

xlsb

xlsm

xlsx

xlt

xltm

xltx

xlw

xml

zip

SQLITEDB

SQLITE3

wallet.dat

 

 

 

 

[표-2] Locky 랜섬웨어 감염 대상 확장자


또한, [표-3]과 같이 Locky 랜섬웨어 감염에서 제외하는 대상도 존재한다. 

이는 대부분 시스템 파일들로써, 비트코인 지불을 유도하는 그림파일과 텍스트 파일도 감염 대상에서 제외시킨다.

[표-3] Locky 랜섬웨어 감염 제외 대상


Locky 랜섬웨어 감염시 윈도우즈 볼륨 쉐도우(Windows Volume Shadow) 를 삭제하여 윈도우 시스템 복구가 불가능하도록 한다.


해당 Locky 랜섬웨어 파일은 V3 제품에서 다음 진단명으로 진단 가능하며, [그림-5]와 같이 랜섬웨어의 악의적인 동작을 탐지하여 추가 감염이 발생하지 않도록 차단하고 있다. 행위기반 진단은 시그니처 업데이트 없이 특정 행위만으로 진단하기에 효과적인 보안 기능을 제공할 수 있다.

- JS/Obfus.Gen

- JS/Nemucod

- JS/Downloader

- JS/Obfus.S1 ~ JS/Obfus.S16

- Win-Trojan/Lockycrypt.Gen

- Trojan/Win32.Locky

[그림-5] Locky 랜섬웨어 행위기반 진단


최근 급증하는 랜섬웨어 감염을 예방하기 위해 사용자의 각별한 주의가 요구되며, 발신자가 불분명한 이메일이나 의심스러운 첨부파일은 열어보지 않도록 주의를 기울일 필요가 있다.


APT 전문 대응 솔루션 ‘안랩 MDS’에 포함된 실행보류 기능(execution holding, 네트워크에서 발견된 의심파일을 분석이 끝나기 전까지 PC에서 실행되는 것을 막아주는 기능)으로 예방이 가능하다

또한, 안랩은 Locky (록키) 랜섬웨어와 변종을 비롯한 다양한 랜섬웨어에 대한 정보를 ‘랜섬웨어 보안센터 (www.ahnlab.com/kr/site/securityinfo/ransomware/index.do#cont2) 에서 제공 중이다.


신고
Posted by a0_zest