최근 지속적으로 스팸 메일을 통해 유포되고 있는 DOC, JS, RTF 첨부 파일을 실행할 경우 랜섬웨어(Ransomware) 감염 또는 금융 정보를 탈취할 수 있는 보안 위협에 대해 경고한 적이 있었습니다.
- 메일 제목 : Image839068228018.pdf
- 첨부 파일 : Image839068228018.zip
스크립트 파일을 실행할 경우 특정 서버에 업로드된 762trg22e2.exe 악성 파일(SHA-1 : 1c2fe57719989c29314f31126c605dc3b855d068 - AhnLab V3 : Win-Trojan/Lockycrypt.Gen)을 자동 다운로드하도록 구성되어 있습니다.(※ 테스트 당시에는 파일이 존재하지 않았습니다.)
파일 암호화를 통해 변경된 파일은 .locky 확장명으로 표시되며, 특히 국내에서 많이 사용하는 한글 문서(HWP)도 암호화되는 것을 알 수 있습니다.
- _Locky_recover_instructions.bmp / _Locky_recover_instructions.txt
- _HELP_instructions.bmp / _HELP_instructions.txt
금전 요구 메시지 파일 생성 정보 |
C:\Users\(로그인 계정명)\Desktop\_HELP_instructions.bmp :: 바탕 화면 배경으로 지정 C:\Users\(로그인 계정명)\Desktop\_HELP_instructions.txt :: 암호화된 폴더에 생성
|
Locky 랜섬웨어는 바탕 화면에 생성된 _HELP_instructions.bmp 또는 _Locky_recover_instructions.bmp 그림 파일을 바탕 화면 배경으로 지정하여 항상 노출되도록 구성되어 있습니다.
현재까지 Locky 랜섬웨어에 의해 암호화된 파일은 복호화가 불가능하므로, 해외에서 발송된 메일에 첨부된 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.
스팸 메일에 첨부된 DOC, RTF 문서의 경우 MS Office 프로그램을 통해 오픈할 경우 숨어있는 매크로(Macro) 기능을 사용자가 허용할 경우 추가적인 악성 파일 다운로드를 통해 감염을 유발할 수 있으므로 허용하는 일이 없도록 주의하시기 바랍니다.
- 첨부 파일 : Sixt_receipt_33212733.doc (SHA-1 : 86d79adf6ceb89ebeebd39689d33928d25a74df2) - AhnLab V3 : W97M/Downloader
- ddfffgcvdf.VBe (SHA-1 : 0eb1c6250b00a2c66e6c955b394db86a2ebd19a2) - ESET : VBS/TrojanDownloader.Agent.NMQ
- h**p://web-intra.fhc*inc.net/live/essentials.php (SHA-1 : 9c31378f94012a659cec3ee624555d3afa22df74) - Norton : Trojan.Cridex
- 첨부 파일 : Rentokil Initial_inv_tracker_26139.rtf (SHA-1 : 5ad040872e9b1da5bef0b87076dc79acfdbb4ca7) - 알약(ALYac) : W97M.Downloader.BDP
- qweqqweee.VBE (SHA-1 : f833a8a7e79ab689edfc686fc0a49267919794d2) - ESET : VBS/TrojanDownloader.Agent.OAC
- h**p://wrkstn**.satbootcampaz.com/dana/home.php (SHA-1 : 72140ae2b61efa66a7c6ba2f020364054018c91c) - Microsoft : Backdoor:Win32/Drixed
- 첨부 파일 : PRIVATE EQUITY INVESTOR_inv_tracker_867.rtf (SHA-1 : 64bc20c43ca493e195fe7524a2684fe96880ad14) - Hauri ViRobot : W97M.S.Downloader.43520.H[h]
- qweqqweee.VBE (SHA-1 : f833a8a7e79ab689edfc686fc0a49267919794d2) - ESET : VBS/TrojanDownloader.Agent.OAC
- h**p://wrkstn**.satbootcampaz.com/dana/home.php (SHA-1 : 72140ae2b61efa66a7c6ba2f020364054018c91c) - Microsoft : Backdoor:Win32/Drixed