Notice

Various information is provided including new products, AppCheck update details, and event information.

안녕하세요? 체크멀(CheckMAL)입니다.

 

스팸 메일 첨부 파일 또는 취약점(Exploit)을 이용한 자동 감염 방식으로 유포되고 있는 Locky 랜섬웨어는 2016년 2월경 .locky 파일 확장명으로 암호화하는 형태에서 2016년 6월 하순경부터 .zepto 파일 확장명으로 변경하여 최근까지 피해를 주고 있었습니다.

 

그런데 2016년 9월 27일경부터 .odin 파일 확장명으로 암호화를 수행하는 새로운 변종이 출현하여 유포가 이루어지고 있기에 유포 방식과 감염으로 인한 피해에 대해 살펴보도록 하겠습니다.

 

 

현재 확인된 대표적인 유포 방식은 다양한 스팸 메일에 첨부된 ZIP 압축 파일 내에 포함된 .wsf 파일(Windows 스크립트 파일)을 사용자가 실행하도록 유도하고 있습니다.

 

난독화된 스크립트를 "C:\Windows\System32\WScript.exe" 시스템 파일이 로딩하여 특정 서버에 업로드된 암호화된 파일(MD5 : b46cbf7e983ee7b8cf593adc1c483f67)을 다운로드하여 임시 폴더에 생성(C:\Users\%UserName%\AppData\Local\Temp\xXINzimwQ1)한 후 복호화를 통해 DLL 파일로 생성합니다.

 

 

생성된 "C:\Users\%UserName%\AppData\Local\Temp\xXINzimwQ1.dll" 악성 파일(MD5 : 9b3de41f4106963a50e9af2566912451)은 rundll32.exe 시스템 파일(Windows 호스트 프로세스(Rundll32))을 통해 다음과 같이 실행합니다.

 

  • 32비트 운영 체제 : "C:\Windows\System32\rundll32.exe" "C:\Users\%UserName%\AppData\Local\Temp\xXINzimwQ1.dll" qwerty
  • 64비트 운영 체제 : "C:\Windows\SysWOW64\rundll32.exe" "C:\Users\%UserName%\AppData\Local\Temp\xXINzimwQ1.dll" qwerty

 

이를 통해 "rundll32 시스템 파일 + 악성 DLL 파일" 조합으로 동작하는 Locky 랜섬웨어는 다음과 같은 C&C 서버와의 정상적인 통신이 이루어질 때까지 대기를 합니다.

 

"5.196.200.247" C&C 서버와의 통신에 성공하여 암호화 키(Key) 교환이 이루어질 경우 외장 하드를 비롯한 로컬 디스크 영역에 존재하는 문서, 사진, 동영상, 음악, 압축 파일 등의 개인 파일을 53045D39-F1E3-3C58-2C42-D7C08C17E097.odin 패턴을 가지는 파일로 변경하여 암호화를 수행합니다.

 

 

모든 파일 암호화가 완료된 후에는 "C:\Users\%UserName%\Desktop\_HOWDO_text.bmp" 파일로 바탕 화면 배경을 변경하며, 2종의 랜섬웨어 결제 안내 파일(_[숫자]_HOWDO_text.html, _HOWDO_text.html)을 통해 암호화 사실과 비트코인(Bitcoin) 결제 안내를 진행합니다.

 

 

이번에 새롭게 등장한 (Random 파일명).odin 파일 형태로 암호화를 수행하는 Locky 랜섬웨어 변종에 대하여 AppCheck 안티랜섬웨어 제품이 설치되어 있는 환경에서는 rundll32.exe 시스템 파일을 이용한 파일 암호화 진행 시 rundll32.exe 파일 차단을 통해 암호화 행위 차단 및 일부 훼손된 파일을 자동 복원하고 있습니다.

 

그러므로 지속적으로 변화를 추구하면서 광범위한 유포 활동을 진행하는 Locky 랜섬웨어 감염으로 인한 암호화 피해를 예방하기 위해서는 백신 프로그램과 함께 AppCheck 안티랜섬웨어 제품을 함께 사용하시기 바랍니다.

List

위로