2016년 3월경부터 스팸(Spam) 메일에 첨부된 JS 스크립트 파일을 이용하여 활발하게 유포가 이루어졌던 Locky 랜섬웨어(Ransomware)는 2016년 5월을 끝으로 일시적으로 활동이 중지되었다는 소식이 있었습니다.

 

 

그런데 한동안 잠잠하던 Locky 랜섬웨어가 Necurs 봇넷을 이용하여 다시 활동을 시작했다는 소식과 함께 실제 국내에서도 다수의 스팸(Spam) 메일을 통해 전파되고 있는 것이 확인되고 있습니다.

 

 

이번에 유포되기 시작한 Locky 랜섬웨어에 대해 전반적인 감염 과정 및 예상되는 피해를 살펴보도록 하겠습니다.

 

 

2016년 6월 23일에 확인된 Payment 제목으로 유포되는 메일에는 주문(Order) 관련된 ZIP 압축 파일을 오픈하도록 유도하는 문장이 포함되어 있습니다.

 

 

  • unpaid-958.js (SHA-1 : 7216b058b200798305835ca3a7cba2fcc757a016) - AhnLab V3 : JS/Obfus.S67
  • unpaid-4619.js (SHA-1 : f6444df161ffedb33e43ad852a156850524c3a65) - McAfee : JS/Nemucod.jt

 

ZIP 압축 파일에는 난독화된 JS 스크립트 파일이 포함되어 있으며, 사용자가 부주의하게 파일을 실행할 경우 특정 서버로부터 Locky 악성 파일을 자동 다운로드할 수 있습니다.

 

  • h**p://karl-***.se/x23ft (SHA-1 : 3eec412a0da70932ebbc7c64e0b0f1b865c434b8) - Microsoft : Ransom:Win32/Locky!enc

 

최초 서버에서 다운로드된 파일을 확인해보면 PE 파일이 아닌 XOR 암호화를 통해 진단을 우회하고 있으며, 다운로드된 파일은 "C:\Users\%UserName%\AppData\Local\Temp\yIi724tw6Z" 형태로 생성되어 암호를 해제합니다.

 

  • C:\Users\%UserName%\AppData\Local\Temp\yIi724tw6Z.exe (SHA-1 : e25663791b4d789833bc580dc56f3870ba2cae55) - 알약(ALYac) : Trojan.Ransom.LockyCrypt

 

XOR 암호가 해제된 PE 파일은 ["C:\Users\%UserName%\AppData\Local\Temp\yIi724tw6Z.exe" 321] 실행 변수를 통해 동작하여 로컬 드라이브, 외장 하드, 공유 네트워크, USB 저장 기기에 존재하는 문서, 사진, 압축, 음악 등의 개인 파일을 .locky 파일 확장명으로 변경하여 암호화합니다.

 

파일 암호화가 완료된 후에는 _HELP_instructions.bmp / _HELP_instructions.html 2종의 메시지 파일을 통해 암호화 사실과 금전 요구를 진행합니다.

 

 

또한 바탕 화면 배경을 _HELP_instructions.bmp 파일로 변경하며, 모든 파일 암호화가 완료된 후에는 임시 폴더(%Temp%)에 생성되었던 XOR 암호가 해제된 PE 파일(yIi724tw6Z.exe)은 자동 삭제하여 흔적을 제거합니다.

 

  • Locky 랜섬웨어(Ransomware) C&C 서버 정보 : 93.170.169.188

 

■ Locky 랜섬웨어(Ransomware) 대응 방법

 

메일을 통해 유포되는 Locky 랜섬웨어는 실제 개인 사용자보다는 기업과 같은 환경에서 감염 확률이 더 높을 것으로 보이며, 최초 감염이 이루어진 1대의 PC 환경으로 인하여 내부 공유 네트워크를 타고 파일 암호화가 진행될 수 있습니다.

 

 

특히 XOR 암호화 방식으로 파일 유포 방식 전환과 15초 단위로 파일 Hash값을 변경한다는 정보가 있다는 점에서 백신을 통한 대응에는 한계가 있을 수 있으므로 AppCheck 안티랜섬웨어 제품을 통해 추가적인 랜섬웨어 예방책을 세운다면 Locky 랜섬웨어의 모든 변종에 대해 완벽하게 보호받을 수 있습니다.

 

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..