본문 바로가기

벌새::Security

해킹당한 메일 유포 방식의 Locky 랜섬웨어 소식 (2016.5.8)

반응형

2016년 2월 등장한 Locky 랜섬웨어(Ransomware)는 주로 이메일 첨부 파일을 통해 매우 광범위하게 최근까지 감염을 시도하고 있으며, 감염 시 문서, 사진, 압축 등의 파일을 .locky 확장명을 변경하여 파일 암호화를 수행하여 비트코인(Bitcoin) 결제를 유도하고 있습니다.

 

 

최근 확인된 대표적인 Locky 랜섬웨어 유포를 살펴보면 "Bill Copy" 제목의 메일에 첨부된 ZIP 압축 파일을 다운로드하여 내부에 존재하는 VA290529256183653.js 스크립트 파일(SHA-1 : aa42b0c9432190c36e8dbafb8b22f68abb07c5b5 - 알약(ALYac) : JS:Trojan.JS.Downloader.IQ)을 실행하도록 구성되어 있습니다.

 

  • h**p://barebooger.com/09y8hb7v6y** (SHA-1 : 90ce953f6a28a189429383af511d5e35926771d4 - Microsoft : Ransom:Win32/Locky.A)

JS 스크립트 파일을 실행할 경우 난독화된 코드 중 특정 URL 주소를 파싱하여 Locky 랜섬웨어 악성 파일을 다운로드하여 실행되는 구조입니다.

정상적으로 실행될 경우 "185.22.67.108/userinfo.php" C&C 서버와 통신이 성공할 경우 "vssadmin.exe Delete Shadows /All /Quiet" 명령어를 통한 시스템 복원 기능 무력화 및 개인 데이터 파일을 .locky 확장명으로 변경하여 파일 암호화가 진행되며 다음과 같은 다양한 랜섬웨어 결제 안내 파일을 생성할 수 있습니다.

 

  • _HELP_instructions.bmp
  • _HELP_instructions.html
  • _HELP_instructions.txt
  • _Locky_recover_instructions.bmp
  • _Locky_recover_instructions.txt

이처럼 대규모 메일 유포를 통한 감염 시도를 보이던 Locky 랜섬웨어 유포 서버 일부가 익명의 누군가로부터 해킹(Hacking)을 당했다는 소식이 있습니다.

 

Avira 보안 업체의 분석 정보를 확인해보면 악성 스크립트 파일(.js)을 실행할 경우 Locky 랜섬웨어 바이너리 파일을 다운로드하는 서버가 해킹되어 12바이트 크기로 더미(Dummy) 파일이 다운로드되며, 내부에는 "STUPID LOCKY" 메시지만 포함되어 실제 파일 암호화 행위를 수행하지 못한다고 밝히고 있습니다.

 

물론 이런 해킹 공격으로 인하여 Locky 랜섬웨어 유포 행위 전체에 영향을 주지는 못하였지만 워낙 규모있게 활동하는 것에 불만을 품은 누군가에 의해 공격을 당한 것이 아닌가 싶습니다.

 

728x90
반응형