2016. 6. 27. 16:34

'록키 랜섬웨어' 변종으로 국내 대량 유포

이메일 통한 자바스크립트 첨부 파일로 감염 유도

신규 변종 록키 랜섬웨어가 첨부된 악성 이메일 하우리 자료.

01hau

한동안 뜸하던 ‘록키’가 새로운 변종 형태로, 이메일을 통해 국내에 대량 유입되고 있어 국내 이용자들의 각별한 주의가 요구된다고 밝혔다. 이번에 새롭게 확인된 ‘록키’ 랜섬웨어 변종은 악성 이메일을 통해서 배포되고 있으며, 수신인이 악성 메일을 의심 없이 열람하고 첨부파일을 실행하도록 유도하기 위해 ‘Payment’, ‘invoice’, ‘report’, ‘Dear (수신자 계정)’, ‘(수신자 계정)이 포함된 첨부파일’ 등을 메일 내용 및 제목, 첨부파일에 사용했다.

불특정 다수에게 발송된 악성 이메일은 수신인이 메일을 열람해 첨부된 자바스크립트(.js) 파일을 실행하면 록키 랜섬웨어에 감염되도록 되어 있다. 랜섬웨어가 실행되면 사진 파일, 그림 파일, 각종 오피스 문서 등은 확장자가 ‘.locky’로 변경되고 암호화되어 더 이상 파일을 사용할 수가 없게 된다.

이번 변종 록키 랜섬웨어는 기존의 록키 랜섬웨어와는 달리 감염 여부를 파악하는 로직이 포함되어 있지 않아서 다수의 록키 랜섬웨어에 중복 감염될 수 있다. 또한, 실행 방법에서도 특정 인자값을 통해서만 실행이 되기 때문에 해당 인자값이 존재하지 않으면 실행되지 않고 에러 메시지를 출력해 마치 자기 자신이 악성코드가 아닌 것처럼 위장한다.

02hau

랜섬웨어에 걸리면 하드디스크 파일들이 이렇게 됨.

기사 참조는 보안뉴스 - http://m.boannews.com/html/detail.html?idx=51021&kind=0