문서, 사진, 동영상 등의 파일을 암호화하여 돈을 요구하는 랜섬웨어(Ransomware) 악성코드는 취약점(Exploit)을 이용하여 웹사이트 접속 시 자동으로 감염하는 방식 외에 메일에 동봉된 첨부 파일을 통해 감염을 시킬 수 있습니다.

최근 Dridex 봇넷을 통해 대량의 스팸 메일을 발송하여 메일에 동봉된 첨부 파일을 통해 Locky 랜섬웨어을 감염시키는 사례가 보고되고 있습니다.

 

국내에서도 2016년 3월 17일 새벽부터 다수의 메일이 발견되고 있기에 간단하게 감염 과정을 살펴보도록 하겠습니다.

● 메일 제목 : RE: KONINKLIJKE KPN NV - Order Number 16034/534096/41 status updated to order processing

 

● 첨부 파일 : KONINKLIJKE KPN NV - Order NUM. 16034_534096_41.zip

 

Dear customer,

 

First of all thank you for purchasing with us.

 

We want to let you know that your order 16034/534096/41 status has been updated to ORDER PROCESSING

 

If you have any questions about your order, send an email to sales@fromdomain qouting your order number 16034/534096/41 or simply reply to this message.

 

Your unique reference: Your order number listed above.
KONINKLIJKE KPN NV

 

You can download and view a copy of your invoice from the attached document.

 

Check Your Delivery

 

All goods must be checked on delivery and not signed for until you are satisfied. If in doubt please sign as damaged and report to us withing 48 Hours - claims for damaged items will not be otherwise accepted. Terms such as Unchecked or Not Checked are taken as clear acceptance of goods in good order and contition as per our Delivery Policy.

 

Kind Regards

 

Jeannie Craft

 

수신된 메일에서는 첨부 파일을 실행하여 주문 관련 문서 다운로드하도록 유도하고 있으며, 기존의 Locky 랜섬웨어 유포에서 활용한 MS Word 매크로 기능을 이용하였지만 이번에는 JS 스크립트 파일을 이용하고 있습니다.

  • conf-186050958#.js (SHA-1 : 4f1083b0f6c86193588ea50e1bf56bfe8409de57) - Microsoft : TrojanDownloader:JS/Locky.A
  • disscuse-392664206#.js (SHA-1 : 8a1f3c4e61a709319e8f50de5dcb4f5de629a264) - avast! : Other:Malware-gen [Trj]
  • disscuse-771547309#.js (SHA-1 : 1dc0d4c70efc3593d4237d7c966e4103685fa8dc) - Sophos : JS/DwnLdr-NHL
  • letter-316329783#.js (SHA-1 : afdec33b41ae5daf9a32f8620e69a1cfa35f8981) - Kaspersky : HEUR:Trojan-Downloader.Script.Generic
  • letter-691378139#.js (SHA-1 : 67ce00ac9555def0c3dba9fe287ac8d44f48fb33) - Fortinet : JS/TrojanDownloader.gen!tr

ZIP 압축 파일 내부에는 5개의 JS 스크립트 파일이 포함되어 있으며, 사용자가 호기심에 파일을 클릭하여 실행할 경우 다음과 같은 방식으로 감염이 이루어질 수 있습니다.

JS 스크립트 파일에서는 특정 서버에서 악성 파일 다운로드 정보가 포함되어 있으며, 감염 과정에서 피해자가 러시아(Russia) IP로 확인될 경우 감염이 이루어지지 않도록 제작되어 있습니다.

  • h**p://img6.holycrossmichi***.org/host/image.php

JS 스크립 파일이 실행되면 특정 서버에서 us.exe 악성 파일(SHA-1 : fcdd52519f9151ad89582ce73bc0390a86c8414d - AhnLab V3 : Trojan/Win32.Dridex.C1351414)이 다운로드될 수 있습니다.

 

다운로드된 us.exe 악성 파일은 "C:\Users\(로그인 계정명)\AppData\Local\Temp\leadingRelative.scr" 화면 보호기 파일로 생성되어 메모리에 상주합니다.

  • https://188.93.239.28:4843

해당 악성 파일은 특정 IP 서버와 통신을 시도할 수 있으며, 만약 일정 시간 통신이 이루어지지 않거나 실행 환경에 따라서는 자동으로 자신을 삭제 처리하여 더 이상 동작하지 않습니다.

 

만약 정상적으로 동작한다면 문서, 사진, 동영상, 음악 등의 파일을 .locky 확장명으로 암호화하여 바탕 화면 그림을 변경하여 돈을 요구할 수 있습니다.

 

그러므로 해외에서 발송되는 메일 중에서 첨부 파일이 JS 확장명을 가진 파일은 호기심이라도 실행하는 일이 없도록 각별히 주의하시기 바랍니다.

마지막으로 Locky 랜섬웨어의 파일 암호화 모습과 AppCheck 랜섬웨어 백신을 통해 차단 및 자동 복구하는 모습을 확인해 보시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..