본문 바로가기

벌새::Analysis

네덜란드 언어로 작성된 메일을 통한 Locky 랜섬웨어 유포 주의 (2016.5.5)

728x90
반응형

2016년 3월경부터 대규모 스팸(Spam) 메일을 이용하여 .locky 확장명으로 파일 암호화를 수행하는 Locky 랜섬웨어(Ransomware)가 최근까지도 여전히 유사한 수법으로 유포되고 있습니다.

 

특히 Locky 랜섬웨어는 변화된 통신 방식과 새로운 암호화 알고리즘이 적용되었다는 Fortinet 보안 업체의 분석이 공개된 상태입니다.

 

오늘 확인된 Locky 랜섬웨어 유포에서는 네덜란드(Netherlands) 유명 호스팅 업체에서 발송한 것으로 위장하여 첨부 파일을 다운로드하여 실행하도록 유도하는 사례가 있기에 살펴보도록 하겠습니다.

 

 

  • 메일 제목 : Nieuwe factuur (met automatische incasso)
  • 첨부 파일 : MD92233997.zip → 2016-74603_2016052.js (SHA-1 : 0b33c359eee67af562f9719c08dc1514c9611b62 - AhnLab V3 : JS/Obfus.S33)

메일 내용에는 송장 번호가 포함되어 있으며 첨부된 ZIP 압축 파일을 다운로드하여 내부에 존재하는 JS 스크립트 파일을 실행하도록 유도하고 있습니다.

 

  • h**p://***town.fr/09u87tgy (SHA-1 : 94d3eca5bd30d2f8eddabf5b39dc4eb07ac023ea - AhnLab V3 : Trojan/Win32.Locky.C1411998)

JS 스크립트 파일을 살펴보면 실행 시 "C:\Windows\System32\wscript.exe" 시스템 파일이 난독화된 코드 실행을 통해 외부 특정 URL 주소값을 불러와 파일을 자동으로 다운로드하도록 구성되어 있습니다.

 

다운로드된 악성 파일은 "C:\Users\(로그인 계정명)\AppData\Local\Temp\tynHBYcvIio.exe" 패턴으로 생성되어 실행될 수 있으며, "oxgklbigbbyc.xyz/userinfo.php" C&C 서버와 통신이 이루어질 경우 문서, 그림, 압축 파일 등을 .locky 확장명으로 변경하여 파일 암호화를 수행합니다.

 

 

파일 암호화 행위가 완료된 후에는 _HELP_instructions.html 랜섬웨어 결제 안내 파일을 통해 특정 웹 사이트를 방문하여 복호화를 위한 금전 지불을 하도록 요구하고 있습니다.

 

 

확인된 Locky 랜섬웨어(Ransomware)는 파일 암호화 행위가 탐지될 경우 AppCheck 안티랜섬웨어 제품을 통해 차단 및 제거될 수 있으며, 일부 암호화로 훼손된 파일도 자동 복원이 이루어지고 있는 것을 확인하였습니다.

 

다양한 내용으로 구성된 메일을 통해 유포되는 Locky 랜섬웨어는 첨부 파일이 EXE 실행 파일이 아니라는 착각에 JS 스크립트 파일을 실행하여 피해를 당할 수 있으므로 해외에서 발송된 메일 첨부 파일을 호기심에 클릭하는 일이 없도록 주의하시기 바랍니다.

 

728x90
반응형