앞서 소개한 최근 다양한 내용을 포함한 해외 스팸 메일에 첨부된 압축 파일을 통해 사용자가 JS 스크립트 파일을 실행할 경우 .locky 확장명으로 파일을 변경하여 암호화를 통한 금전을 요구하는 Locky 랜섬웨어(Ransomware) 감염에 대해 추가적인 메일 패턴을 살펴보도록 하겠습니다.

3월경에 폭발적으로 증가한 메일을 통한 유포 방식은 다소 소강 상태를 보이고 있지만 언제든지 유사한 방식으로 악성코드 유포가 이루어질 수 있으므로 주의하시기 바랍니다.

(1) 메일 제목 : Requested receipt ID:A1ADE7

  • 첨부 파일 : 0680a7.js (SHA-1 : ae6db1c5a498c47e3eae3b872cdbd07d6ca76688) - 알약(ALYac) : JS:Trojan.JS.Downloader.FE
  • h**p://***passion.co.uk/ksl3iaf (SHA-1 : 9cee5792d7a60fadcab805685b5ef69322653508) - Microsoft : Ransom:Win32/Locky.A

메일에 첨부된 ZIP 압축 파일 내에는 2개의 하위 폴더 속에 악성 JS 스크립트 파일과 더미 파일이 포함되어 있습니다.

JS 스크립트 내부에는 특정 URL 주소로 연결되는 정보를 가지고 있으며, 사용자가 JS 파일을 실행할 경우 "C:\Windows\System32\wscript.exe" 시스템 파일을 통해 서버에 업로드된 Locky 랜섬웨어(Ransomware) 악성 파일을 자동 다운로드하여 실행합니다.

 

다운로드된 악성 파일은 "C:\Users\(로그인 계정명)\AppData\Local\Temp\(Random).exe" 형태로 생성되어 파일 암호화 및 VSS 서비스 삭제를 시도합니다.

 

(2) 메일 제목 : Bill N-5D3F9D

  • 첨부 파일 : bade0aa0.js (SHA-1 : 1a84b97e5ea813fa9ceee8981dcb1e973083b443) - ESET : JS/TrojanDownloader.Nemucod.NH
  • h**p://****racerpneus.com.br/lw2osd (SHA-1 : 0abd77643ebf7932ec3ee7c782955bf2d38dba84) - 알약(ALYac) : Gen:Variant.Razy.35114

청구서 관련 메일로 위장한 해당 메일에 첨부된 ZIP 압축 내에도 2개의 하위 폴더가 존재하며, 내부에는 JS 스크립트 파일과 더미 파일이 포함되어 있습니다.

 

이를 통해 사용자가 JS 파일을 실행할 경우 외부 서버에 등록된 악성 파일 다운로드 및 실행을 통해 문서, 사진, 음악 등의 파일을 .locky 확장명으로 변경하여 암호화하는 Locky 랜섬웨어 행위를 수행할 수 있습니다.

 

(3) 메일 제목 : CCE29032016_00060

  • 첨부 파일 : CCE29032016_0001301.js (SHA-1 : cbd733e5ad65ff0489c97458fda44039d904e962) - AhnLab V3 : JS/Obfus.S15
  • h**p://strojka-***.ru/76g8h8y7 (SHA-1 : 5dd6188efe13268bb9ac20ecdb257085e7d62163) - Trend Micro : Ransom_LOCKY.DLDRK

해당 메일은 마치 자신이 iPhone을 이용하여 자신에게 보낸 것처럼 메일 주소를 조작하고 있으며 기존의 ZIP 압축 포맷이 아닌 RAR 압축 파일이 첨부되어 있습니다.

 

RAR 압축 파일 내에 존재하는 JS 스크립트 파일을 실행할 경우 외부 서버에서 Locky 랜섬웨어 파일을 다운로드 및 실행하여 파일 암호화를 통한 금전 요구 행위를 수행할 수 있습니다.

 

이처럼 다양한 패턴을 가진 해외 스팸 메일에 동봉된 JS 파일은 Locky 랜섬웨어 파일을 다운로드하는 기능을 수행하므로 호기심에 파일을 실행하는 일이 없도록 각별히 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..