스팸(Spam) 메일에 첨부된 ZIP 압축 파일 내부에 포함된 Windows 스크립트 파일(.wsf)을 실행할 경우 악성 DLL 파일을 추가 다운로드하여 문서, 사진, 음악 등 개인 파일을 .thor 파일 확장명으로 암호화하는 Locky 랜섬웨어(Ransomware) 변종이 국내에서 발견되어 살펴보도록 하겠습니다.
- 2016년 2월 중순경 : (Random 파일명).locky
- 2016년 6월 말 : (Random 파일명). zepto
- 2016년 9월 말 : (Random 파일명).odin
- 2016년 10월 24일 : (Random 파일명).shit
- 2016년 10월 25일 : (Random 파일명).thor
2016년 2월 중순경 최초 유포가 확인된 Locky 랜섬웨어는 악성 EXE 파일 형태 또는 악성 DLL 모듈을 rundll32.exe 시스템 파일을 통해 실행하여 암호화를 수행하는 2가지 형태로 지금까지 발견되고 있습니다.
특히 Cerber 랜섬웨어와는 다르게 메일 첨부 파일을 통해 사용자가 직접 실행할 경우 감염을 유발하는 방식을 선호하기에 실제 감염률은 많이 떨어지겠지만 표적 공격으로는 더 효과적일 수 있습니다.
- last_transactions_06ECC_PDF.wsf (SHA-1 : 151006b0515f0ab4060fa9e8c506a228146d84a0 - BitDefender : Trojan.VBS.Agent.ZO)
유포 방식을 살펴보면 Transactions 제목을 가진 메일에 첨부된 last_transactions_261dc50.zip 압축 파일 내에 last_transactions_06ECC_PDF.wsf Windows 스크립트 파일이 존재합니다.
사용자가 실수로 Windows 스크립트 파일을 클릭할 경우 "C:\Windows\System32\wscript.exe" 시스템 파일을 통해 동작하여 다음과 같은 난독화된 VBScript 코드를 실행합니다.
- SHA-1 : 95b268a78ea564158c18ec09442d23a8508c4c91 - Dr.Web : Trojan.Encoder.6684
- SHA-1 : ac32c5bd29e61a7fd72b2b4928e2b1692cb8e7c1 - Norton : Ransom.Locky
- SHA-1 : ca0f57d73cb52f3dab50ed5af5e43a5031f0c7d0 - AVG : Crypt6.JEM
- SHA-1 : b8fa65a5df26eb284de423f5439e0e062a10b017 - Avira : TR/Crypt.Xpack.odvwa
- SHA-1 : 25938c95a5a17d94dd9905e4bf8661f24aa574ec - BitDefender : Gen:Variant.Ransom.Locky.38
내부 코드 중에는 총 5개의 악성 DLL 파일을 받아올 수 있는 URL 주소가 포함되어 있으며 랜덤(Random)으로 1개의 악성 DLL 파일이 다운로드됩니다.
다운로드된 악성 DLL 파일은 임시 폴더에 "C:\Users\%UserName%\AppData\Local\Temp\UoERrvvqCm9mOoC0.dll" 형태로 생성될 수 있습니다.
rundll32.exe "%Temp%\UoERrvvqCm9mOoC0.dll" AdvancedStorageP4ssw0rdConf1g 147
이후 난독화된 VBScript 코드에 포함된 실행 명령어를 참조하여 rundll32.exe 시스템 파일을 통해 생성된 악성 DLL 파일을 실행합니다.
실행된 악성 DLL 파일은 "91.239.232.171/message.php" C&C 서버와의 통신에 성공할 경우 암호화 키 교환을 통해 다음과 같은 파일 암호화가 진행됩니다.
특정 위치에 존재하는 폴더 내의 문서, 사진, 음악, 압축 파일 등을 (Random 파일명).thor 파일 확장명으로 변경하여 암호화를 수행합니다.
모든 파일 암호화가 완료된 후에는 바탕 화면 배경(_WHAT_is.bmp) 변경 및 _(숫자)_WHAT_is.html, _WHAT_is.html 랜섬웨어 결제 안내 파일을 생성하여 비트코인(Bitcoin) 결제를 요구합니다.
Locky 랜섬웨어의 경우에는 1회 실행을 통한 파일 암호화 후에는 Windows 재부팅 시 자동으로 재실행되는 자동 실행값이 없으므로 최초 감염 행위만 성공적으로 차단할 경우 더 이상의 피해를 유발하지는 않습니다.
■ .thor 파일 확장명으로 암호화하는 Locky 랜섬웨어(Ransomware) 대응 방법
.thor 파일 확장명으로 암호화를 수행하는 Locky 랜섬웨어(Ransomware)는 백신 프로그램에서 차단하지 못할 경우에도 AppCheck 안티랜섬웨어 제품을 통해 암호화 행위를 차단할 수 있으며, 특히 차단 이전에 암호화된 보호 파일을 자동으로 복원까지 해주고 있습니다.
그러므로 지속적으로 다양한 변종이 제작되고 있는 Locky 랜섬웨어로부터 중요 파일을 보호하기 위해서는 백신 프로그램과 함께 앱체크(AppCheck) 제품을 함께 사용하시기 바랍니다.