지속적으로 발견되는 JS 파일을 이용한 Locky 랜섬웨어 정보 (2016.3.30)

 

여전히 다양한 형태의 메일을 이용하여 첨부 파일에 동봉된 JS 파일을 실행하도록 유도하여 Locky 랜섬웨어(Ransomware) 감염을 유발하는 변종 정보를 살펴보도록 하겠습니다.

 

• 스팸 메일에 첨부된 JS 스크립트 파일을 통한 Locky 랜섬웨어 감염 주의 (2016.3.17)

• 한글 문서(HWP)도 암호화하는 Locky 랜섬웨어 유포 주의 (2016.3.25)

특히 EXE 파일은 실행하지 않는 것과 달리 JS 스크립트 파일은 호기심에 클릭하여 실행할 수 있다는 점에서 메일에 동봉된 첨부 파일 실행은 각별히 주의하시기 바랍니다.

 

(1) 메일 제목 : FW: Payment Receipt

• 첨부 파일 : PMT610ccb1.js.js (SHA-1 : 3d90e43c4396be5dc347cd2e8640a46606532b18) - AhnLab V3 : JS/Obfus.Gen

• h**p://emprendamosjunt**.com/dk3oas (SHA-1 : 279c54015d3d089f53a8930db3c8eda5c40bab7f) - 알약(ALYac) : Trojan.Ransom.LockyCrypt

메일에 첨부된 ZIP 압축 파일 내에는 JS 스크립트 파일과 함께 스팸 솔루션 우회 목적의 더미 파일이 포함되어 있는 것이 특징입니다.

 

만약 사용자가 메일에 첨부된 ZIP 압축 파일 내에 존재하는 JS 스크립트 파일을 실행할 경우 특정 서버에서 악성 파일을 다운로드하여 "

C:\Users\(로그인 계정명)\AppData\Local\Temp\DwzYvSsigq7ZJ8G.exe" 파일로 생성 및 실행됩니다.

 

이를 통해 C&C 서버와 정상적으로 통신이 이루어질 경우 문서, 그림, 압축 등의 파일을 .locky 확장명으로 변경하여 암호화를 수행하는 Locky 랜섬웨어(Ransomware)에 감염될 수 있습니다.

 

(2) 메일 제목 : Document2

• 첨부 파일 : VQU2518882229.js (SHA-1 : 9ab8d1cec97dd4b72d4d75a9fe112b221293eff1) - 알약(ALYac) : JS:Trojan.Script.DCA

• h**p://yk*men.ru/3476grb4f434r.exe (SHA-1 : 244f4f2eb2b83ff7c2672bd9b721aa02b3172869) - AhnLab V3 : Win-Trojan/Lockycrypt.Gen

해당 메일은 자신이 보낸 메일 주소로 구성하여 어떠한 내용도 포함하지 않은 특이한 형태이며, JS 파일 실행 시 특정 서버에서 악성 파일 다운로드 및 실행을 통해 Locky 랜섬웨어(Ransomware) 감염을 유발할 수 있습니다.

 

(3) 메일 제목 : $507,84 Penalty

• 첨부 파일 : msg_628814419.js (SHA-1 : 57416c962f1426f8dabc5aa6091a0a2993ac3305) - avast! : Other:Malware-gen [Trj]

• h**p://mal**acient.sk/oIsNTr.exe (SHA-1 : 3e19f189e323d8ff843ef2b744e75f2cc57badf9) - Microsoft : Ransom:Win32/Locky.A

해당 메일에 동봉된 ZIP 압축 파일에도 JS 스크립트 파일과 더미 파일이 함께 포함되어 있으며, 스크립트 실행 시 특정 서버에서 Locky 랜섬웨어(Ransomware) 악성 파일을 다운로드하여 파일 암호화를 수행할 수 있습니다.

 

(4) 메일 제목 : FW:

• 첨부 파일 : ticket_069279123.js (SHA-1 : ae9f30c68711c55086e182c3eda431ec8d48f634) - AhnLab V3 : JS/Locky

• h**p://www.aocuoi***.com/2TGXhz.exe (SHA-1 : a2ad9eb6e27032fbb3194b724cc959006b769f7e) - Trend Micro : Ransom_LOCKY.DLDRI

해당 메일에 동봉된 ZIP 압축 파일에도 JS 스크립트 파일과 더미 파일이 함께 포함되어 있습니다.

JS 스크립트 파일을 실행할 경우 최초 연결된 2TGXhz.exe 파일은 xmlrpc.php 페이지로 연결되어 Locky 랜섬웨어(Ransomware) 실행 파일을 다운로드하는 연결 구조로 이루어져 있습니다.

 

위와 같은 JS 스크립트 파일을 이용한 랜섬웨어(Ransomware) 감염 행위는 사용자의 부주의한 메일 첨부 파일 실행 습관을 통해 이루어지므로 해외에서 발송된 메일에 첨부된 파일은 실행하지 않도록 주의하시기 바랍니다.