본문 바로가기

벌새::Analysis

Windows 스크립트 파일(.wsf)을 이용한 Locky 랜섬웨어(.zepto) 유포 주의 (2016.7.14)

반응형

스팸(Spam) 메일 방식을 이용하여 첨부된 JS 스크립트 파일을 실행할 경우 .locky 파일 확장명으로 암호화하는 Locky 랜섬웨어(Ransomware) 감염 방식은 2016년 3월경부터 지속적으로 확인되고 있었습니다.

 

 

특히 2016년 6월경 일시적으로 활동을 중지하였던 Locky 랜섬웨어는 다운로드되는 악성 파일에 대한 백신 진단 우회를 목적으로 XOR 암호화 방식까지 확인되고 있는 상태였습니다.

 

그런데 JS 스크립트 실행에 대한 경고가 높아짐에 따라 최근에는 Windows 스크립트 파일(.wsf) 형태로 변경되어 유포되고 있기에 전반적인 흐름을 살펴보도록 하겠습니다.

 

 

다양한 스팸(Spam) 메일에 첨부된 ZIP 압축 파일 내부에는 profile-8948..wsf 파일(SHA-1 : f93ebe002645844106fe8c57d09f3e87232b9d70 - Avira : JS/Dldr.Locky.KME)이 포함되어 있습니다.

 

 

첨부된 Windows 스크립트 파일(.wsf)은 JScript, VBScript, Perl, Python 등 단일 파일로 멀티 스크립트 엔진을 지원하고 있으며, "C:\Windows\System32\wscript.exe" 시스템 파일(Microsoft ® Windows Based Script Host)을 통해 실행됩니다.

 

Windows 스크립트 파일(.wsf)이 실행되면 특정 서버로부터 XOR 암호화된 파일을 다운로드하여 "C:\Users\%UserName%\AppData\Local\Temp\YOnP10jpqnO34iyK" 파일(SHA-1 : ce87ff50f735404269369d5449c3f7da274d135c) 형태로 임시 생성합니다.

 

 

생성된 XOR 암호화된 파일이 암호 해제를 통해 "C:\Users\%UserName%\AppData\Local\Temp\YOnP10jpqnO34iyK.exe" PE 파일(SHA-1 : 11ec1d238ec25f4ce0b7ae9988b459b6406be8e6 - AhnLab V3 : Trojan/Win32.Locky.R184619)로 변환된 후 321 실행 변수 추가를 통해 실행됩니다.

 

실행된 Locky 랜섬웨어 파일은 "185.118.66.83/upload/_dispatch.php" C&C 서버와 통신에 성공하여 키교환이 이루어질 경우 다음과 같은 파일 암호화 행위를 수행할 수 있습니다.

 

암호화된 원본 파일은 370303C0-3B83-4A1E-E752-2D03D967B5E2.zepto 패턴으로 변경되며, _(숫자)_HELP_instructions.html, _HELP_instructions.bmp, _HELP_instructions.html 3종의 랜섬웨어 메시지를 생성합니다.

 

참고로 기존의 Locky 랜섬웨어는 .locky 파일 확장명을 사용하였으며 2016년 6월 말경부터 .zepto 파일 확장명으로 변경되었습니다.

 

 

파일 암호화 완료 단계에서는 바탕 화면 배경을 "C:\Users\%UserName%\Desktop\_HELP_instructions.bmp" 그림 파일로 변경합니다.

 

파일 암호화가 완료된 후에는 Locky 랜섬웨어는 자신의 흔적을 제거할 목적으로 XOR 암호화에서 해제되어 파일 암호화 기능을 수행한 "C:\Users\%UserName%\AppData\Local\Temp\YOnP10jpqnO34iyK.exe" 파일을 "C:\Users\%UserName%\AppData\Local\Temp\sysEF11.tmp" 파일 형태로 1차 변경한 후 [cmd.exe /C del /Q /F "C:\Users\%UserName%\AppData\Local\Temp\sysEF11.tmp"] CMD 명령어로 자동 삭제 처리합니다.

 

■ .zepto 파일 확장명으로 암호화하는 Locky 랜섬웨어(Ransomware) 대응 방법

 

 

.locky 또는 .zepto 파일 확장명으로 암호화하는 Locky 랜섬웨어(Ransomware)는 AppCheck 안티랜섬웨어 제품을 통해 차단 및 일부 암호화된 파일도 자동 복원할 수 있으므로 랜섬웨어 감염으로 금전적, 정신적 피해를 입지 않도록 백신과 함께 사용하시기 바랍니다.

728x90
반응형