그동안 Locky 랜섬웨어(Ransomware)의 대표적인 유포 방식은 메일에 첨부된 스크립트 파일을 사용자가 다운로드하여 실행할 경우 추가적인 악성 파일 다운로드를 통해 문서, 사진 등의 개인 파일을 암호화하는 방식으로 진행되었습니다.
그런데 최근 Adobe Flash Player 다운로드 페이지와 동일한 디자인과 유사한 주소(URL)로 제작된 피싱(Phishing) 사이트를 통해 유포하는 사례가 확인되어 살펴보도록 하겠습니다.
사용자가 인터넷 검색, 사이트 또는 스팸 메일에 포함된 링크(Link)를 통해 가짜 Adobe Flash Player에 접속할 경우 자동으로 동일 서버에서 FlashPlayer.exe 악성 파일(SHA-1 : 1e6622f1fbe7093abcfa8c2cf7281970add039fb - Microsoft : Ransom:Win32/Locky.A)을 자동으로 다운로드합니다.
사용자가 다운로드된 FlashPlayer.exe 파일을 Adobe Flash Player 설치 파일로 착각하여 실행할 경우 C&C 서버와의 통신에 성공할 경우 다음과 같은 파일 암호화를 진행할 수 있습니다.
암호화된 패턴은 (Random 파일명).thor 파일 확장명으로 암호화를 수행하는 Locky 랜섬웨어이며, 기존에는 주로 메일 첨부 파일로 광범위하게 유포되고 있었습니다.
파일 암호화가 완료된 후에는 FlashPlayer.exe 악성 파일은 자동 삭제 처리되며, 금전을 요구하는 _(숫자)_WHAT_is.html, _WHAT_is.html 랜섬웨어 메시지 파일과 바탕 화면을 "C:\Users\%UserName%\Desktop\_WHAT_is.bmp" 파일로 변경합니다.
■ .thor 파일 확장명으로 암호화하는 Locky 랜섬웨어 대응 방법
테스트 당시 Chrome 웹 브라우저에서는 가짜 Adobe Flash Player 다운로드 페이지 접속 시 유해 사이트로 차단이 이루어지고 있으므로 위와 같은 경고 메시지를 무시하고 접속하는 일이 없도록 주의하시기 바랍니다.
또한 사용자의 실수로 FlashPlayer.exe 악성 파일 실행 시 백신에서 차단하지 못하더라도 AppCheck 안티랜섬웨어 제품이 파일 암호화 행위 차단 및 일부 훼손된 파일을 자동 복원 할 수 있습니다.
점점 다양한 방식으로 랜섬웨어(Ransomware) 유포 행위가 이루어지고 있으므로 백신 프로그램과 함께 랜섬웨어 차단 솔루션을 추가적으로 활용하여 피해를 당하지 않도록 하시기 바랍니다.