2017년 4월 20일경부터 한동안 활동이 없던 Locky 랜섬웨어(Ransomware) 활동이 시작되었으며, 특히 기존과 다른 PDF 문서가 첨부된 스팸(Spam) 메일을 통해 유포가 이루어졌으며 최근 Jaff 랜섬웨어도 동일한 방법을 활용하기에 감염 방식에 대해 살펴보도록 하겠습니다.
- 2016년 2월 중순경 : <Random 파일명>.locky
- 2016년 6월 말 : <Random>-<Random>-<Random>-<Random>-<Random>.zepto
- 2016년 9월 말 : <Random>-<Random>-<Random>-<Random>-<Random>.odin
- 2016년 10월 24일 : <Random>-<Random>-<Random>-<Random>-<Random>.shit
- 2016년 10월 25일 : <Random>-<Random>-<Random>-<Random>-<Random>.thor
- 2016년 11월 22일 : <Random>-<Random>-<Random>-<Random>-<Random>.aesir
- 2016년 11월 24일 : <Random>-<Random>-<Random>-<Random>-<Random>.zzzzz
- 2016년 12월 6일 : <Random>--<Random>--<Random>--<Random>--<Random>.osiris
2016년 2월경부터 등장한 Locky 랜섬웨어는 2016년 12월경까지 다양한 확장명으로 변화를 주면서 활동하다가 2017년에 들어와서 한동안 활동이 급격히 사라졌었습니다.
그런데 2017년 4월 중하순경 PDF 문서가 동봉된 스팸(Spam) 메일을 통해 Locky 랜섬웨어가 재활동을 시작하였고, 2017년 5월 10일경 Jaff 랜섬웨어(.jaff)도 PDF 문서를 이용하여 유포가 이루어지고 있는 상태입니다.
메일에 첨부된 PDF 문서 파일(SHA-1 : c38c1fcbadc75e04f98c64153591369dac054e65 - Microsoft : TrojanDownloader:O97M/Donoff!rfn)을 다운로드하여 Adobe Acrobat Reader DC 프로그램을 이용하여 오픈할 경우 파일 열기 창이 생성되어 임의의 .docm 문서 파일을 열도록 유도합니다.
우선 메일에 첨부된 PDF 문서 코드를 살펴보면 내부에 포함된 JavaScript를 통해 PDF 문서 내부에 임베이드되어 있는 948699.docm 파일(SHA-1 : e2caed21a8d7a96f3c56a0b33c2e6bf4695101be - ALYac : Trojan.Downloader.W97M.Gen)을 실행하도록 조작된 것을 확인할 수 있습니다.
- C:\Users\%UserName%\AppData\Local\Temp\acrord32_sbx\<Random>.tmp\948699.docm
이 과정에서 948699.docm 파일은 임시 폴더(%Temp%) 영역에 생성되며, 사용자가 파일 열기를 허용할 경우 Microsoft Word 프로그램을 통해 파일을 오픈하게 됩니다.
참고로 948699.docm 파일 내부에는 VBA Script 코드가 포함되어 있는 것을 확인할 수 있습니다.
Microsoft Word 프로그램의 기본 보안 설정에서는 매크로(Macro)가 포함된 .docm 파일은 제한된 보기로 실행되어 내부에 포함된 VBA Script가 자동 실행되지 않지만 사용자가 편집 사용 및 콘텐츠 사용을 허용할 경우 다음과 같은 코드가 실행됩니다.
948699.docm 파일에 포함된 VBA Script 코드에는 3개의 URL 주소가 포함되어 있으며 실행 시 자동으로 3개의 URL 주소에 순서대로 접속하여 추가적인 파일 다운로드를 시도합니다.
만약 정상적으로 파일 다운로드가 이루어질 경우 암호화된 "C:\Users\%UserName%\AppData\Local\Temp\tymbado2" 파일이 생성된 후 복호화를 통해 Locky 랜섬웨어(Ransomware) 파일인 "C:\Users\%UserName%\AppData\Local\Temp\redchip2.exe" 파일(SHA-1 : 37c32b562c40b7d4fc2b0f4ca08535d0be90a519 - Microsoft : Ransom:Win32/Locky)이 생성 및 실행됩니다.
이를 통해 문서, 사진, 음악, 동영상, 압축 등의 개인 파일을 <Random>--<Random>--<Random>--<Random>--<Random>.osiris 형태로 암호화합니다.
또한 파일 암호화를 통한 비트코인(Bitcoin) 결제 안내를 위해 메시지 파일(DesktopOSIRIS.htm / OSIRIS-<Random>.htm) 생성 및 바탕 화면 배경(DesktopOSIRIS.bmp)을 변경합니다.
현재까지 Locky 랜섬웨어에 대한 무료 복호화 방법은 공개되지 않았으므로 백신 프로그램과 함께 앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 차단 솔루션을 함께 사용하여 다양한 변종으로부터 파일을 보호하시기 바랍니다.
또한 JavaScript 코드가 포함된 악성 PDF 문서 파일 실행 시 악의적인 행위를 차단하기 위해서는 Adobe Acrobat Reader DC 프로그램의 옵션에서 "Acrobat JavaScript 사용 가능" 체크 박스를 해제하시면 더욱 안전하게 사용하실 수 있습니다.