울지않는벌새 : Security, Movie & Society

한글 문서(HWP)도 암호화하는 Locky 랜섬웨어 유포 주의 (2016.3.25)

벌새::Analysis

최근 지속적으로 스팸 메일을 통해 유포되고 있는 DOC, JS, RTF 첨부 파일을 실행할 경우 랜섬웨어(Ransomware) 감염 또는 금융 정보를 탈취할 수 있는 보안 위협에 대해 경고한 적이 있었습니다.

특히 2016년 2월 중순경부터 확인되고 있는 Locky 랜섬웨어에 감염될 경우 한글 문서(HWP)도 암호화되는 피해가 이루어질 수 있는 부분에 대해 살펴보도록 하겠습니다.

  • 메일 제목 : Image839068228018.pdf
  • 첨부 파일 : Image839068228018.zip
해당 메일은 ZIP 압축 파일에 포함된 IKR6531541741.js 스크립트 파일(SHA-1 : 4af0aeff01ffbedbf898b803b223a233ee9423dc - AhnLab V3 : JS/Obfus.S14)을 실행하도록 유도하고 있습니다.

스크립트 파일을 실행할 경우 특정 서버에 업로드된 762trg22e2.exe 악성 파일(SHA-1 : 1c2fe57719989c29314f31126c605dc3b855d068 - AhnLab V3 : Win-Trojan/Lockycrypt.Gen)을 자동 다운로드하도록 구성되어 있습니다.(※ 테스트 당시에는 파일이 존재하지 않았습니다.)


만약 정상적으로 다운로드될 경우 파일은 임시 폴더(C:\Users\(로그인 계정명)\AppData\Local\Temp)에 임의의 화면 보호기(.scr) 파일로 생성하여 다른 파티션(외장 하드)을 비롯한 라이브러리 폴더 등에서 문서, 사진, 압축, 음악, 동영상 등의 파일에 대한 파일 암호화를 수행할 수 있습니다.

파일 암호화를 통해 변경된 파일은 .locky 확장명으로 표시되며, 특히 국내에서 많이 사용하는 한글 문서(HWP)도 암호화되는 것을 알 수 있습니다.

  • _Locky_recover_instructions.bmp / _Locky_recover_instructions.txt
  • _HELP_instructions.bmp / _HELP_instructions.txt
파일 암호화가 완료된 후에는 랜섬웨어 악성 파일은 자동 삭제 처리되며, 금전 요구 메시지 파일만 노출되도록 구성되어 있습니다.


금전 요구 메시지 파일 생성 정보


C:\Users\(로그인 계정명)\Desktop\_HELP_instructions.bmp :: 바탕 화면 배경으로 지정

C:\Users\(로그인 계정명)\Desktop\_HELP_instructions.txt :: 암호화된 폴더에 생성


Locky 랜섬웨어는 바탕 화면에 생성된 _HELP_instructions.bmp 또는 _Locky_recover_instructions.bmp 그림 파일을 바탕 화면 배경으로 지정하여 항상 노출되도록 구성되어 있습니다.


현재까지 Locky 랜섬웨어에 의해 암호화된 파일은 복호화가 불가능하므로, 해외에서 발송된 메일에 첨부된 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.

특히 메일 첨부 파일 방식은 취약점(Exploit)을 이용한 방식이 아니므로 사용자가 직접 실행하는 문제로 감염이 이루어지므로 성능 좋은 백신 사용과 함께 AppCheck 랜섬웨어 백신과 같은 추가적인 보안 솔루션을 함께 사용하시길 권장합니다.

■ 최근 발견된 송장(Invoice) 스팸 메일 정보

스팸 메일에 첨부된 DOC, RTF 문서의 경우 MS Office 프로그램을 통해 오픈할 경우 숨어있는 매크로(Macro) 기능을 사용자가 허용할 경우 추가적인 악성 파일 다운로드를 통해 감염을 유발할 수 있으므로 허용하는 일이 없도록 주의하시기 바랍니다.


(1) 메일 제목 : Sixt Invoice: 6893466285 from 24.03.2016

  • 첨부 파일 : Sixt_receipt_33212733.doc (SHA-1 : 86d79adf6ceb89ebeebd39689d33928d25a74df2) - AhnLab V3 : W97M/Downloader
  • ddfffgcvdf.VBe (SHA-1 : 0eb1c6250b00a2c66e6c955b394db86a2ebd19a2) - ESET : VBS/TrojanDownloader.Agent.NMQ
  • h**p://web-intra.fhc*inc.net/live/essentials.php (SHA-1 : 9c31378f94012a659cec3ee624555d3afa22df74) - Norton : Trojan.Cridex
(2) 메일 제목 : Invoice BFINV96234 from Rentokil Initial

  • 첨부 파일 : Rentokil Initial_inv_tracker_26139.rtf (SHA-1 : 5ad040872e9b1da5bef0b87076dc79acfdbb4ca7) - 알약(ALYac) : W97M.Downloader.BDP
  • qweqqweee.VBE (SHA-1 : f833a8a7e79ab689edfc686fc0a49267919794d2) - ESET : VBS/TrojanDownloader.Agent.OAC
  • h**p://wrkstn**.satbootcampaz.com/dana/home.php (SHA-1 : 72140ae2b61efa66a7c6ba2f020364054018c91c) - Microsoft : Backdoor:Win32/Drixed
(3) 메일 제목 : Invoice LOINV58723 from PRIVATE EQUITY INVESTOR

  • 첨부 파일 : PRIVATE EQUITY INVESTOR_inv_tracker_867.rtf (SHA-1 : 64bc20c43ca493e195fe7524a2684fe96880ad14) - Hauri ViRobot : W97M.S.Downloader.43520.H[h]
  • qweqqweee.VBE (SHA-1 : f833a8a7e79ab689edfc686fc0a49267919794d2) - ESET : VBS/TrojanDownloader.Agent.OAC
  • h**p://wrkstn**.satbootcampaz.com/dana/home.php (SHA-1 : 72140ae2b61efa66a7c6ba2f020364054018c91c) - Microsoft : Backdoor:Win32/Drixed
호기심에 메일 첨부 파일을 클릭하여 실행하는 경우에는 되돌릴 수 없는 피해를 유발할 수 있다는 점에서 최근과 같이 대량의 스팸 메일이 발견되는 시기에는 더더욱 주의하시기 바랍니다.