또다시 등장한 록키 랜섬웨어…주의!

최근 확장명을 zepto로 변경하는 록키(Locky) 랜섬웨어가 발견됐다. 이 랜섬웨어에 대한 복구툴이 없기 때문에 암호화된 파일을 복구할 수 없어 사용자들의 각별한 주의가 요구된다. 

 

록키 랜섬웨어는 지난 2월 중순 처음 발견된 이후 심각한 피해를 입히며 이슈가 됐다 록키 랜섬웨어는 드라이덱스(Dridex)로 알려진 해외 금융 관련 악성코드를 배포했던 그룹의 네커스 봇넷(Necurs Botnet)을 통해 배포하는 것으로 알려졌다. 초기에는 기존 드라이덱스와 마찬가지로 doc 문서가 포함된 스팸 메일을 유포했으나, 3월부터는 본격적으로 자바 스크립트(Java Script) 파일이 포함된 Zip 압축파일을 전세계적으로 대량으로 유포해왔다.

 

네커스 봇넷이 지난 6월 1일 이후 활동을 중단하면서 드라이덱스와 록키 랜섬웨어도 잠시 주춤했으나, 6월 마지막 주부터 네커스 봇넷이 활동을 재개하면서 록키 유포도 다시 활발해지고 있는 상황이다. 

 

 

이번에 발견된 록키 랜섬웨어도 docm 파일을 첨부해 유포하고 있다. 특히 메일의 송신자(보낸 사람) 정보를 조작해 수신자(받는 사람) 주소와 동일하게 표시한 것을 확인할 수 있다. 이는 사용자가 의심을 하지 않고 첨부 파일을 무심코 파일을 열어볼 확률이 높다는 점을 노린 것으로, 사용자의 각별한 주의가 필요하다. 

 

첨부된 docm 파일 내부에는 록키 랜섬웨어를 다운로드해 감염시키는 매크로 스크립트가 포함되어 있다. 해당 파일을 실행하면 사용자 모르게 exe 파일이 추가로 다운로드되어 실행된다. 이 exe 파일이 바로 록키 랜섬웨어로, 이 파일이 실행되면서 사용자도 모르는 사이에 암호화 과정을 진행한다. 

 

암호화가 완료되면 랜섬웨어 감염 사실을 알리기 위해 갑자기 배경화면이 바뀌고 바탕화면에 생성 된 html 파일과 png 파일이 실행되면서 결제를 요구한다.

 

 

특징적인 것은 이 록키 랜섬웨어는 암호화가 완료되면 확자명에 록키를 추가하는 것이 아니라 zepto가 추가된다는 점이다. 특히 파일명도 변경되는 것을 확인할 수 있는데, 앞에 ‘-‘를 제외한 16진수 16글자가 감염된 시스템마다 부여되는 ID 값이다. 또 _숫자_HELP_instructions.html과 같은 형태로 안내 파일을 생성하며, 파일명의 숫자는 폴더 별로 생성되면서 값이 증가한다.

 

이 록키 랜섬웨어에 감염되면 특정한 외부 서버와 통신하는데, 주로 감염 시스템의 정보를 전송해 제작자가 추후에 식별할 수 있도록 하거나, 이미 감염된 시스템을 암호화 대상에서 제외하기 위한 목적으로 보인다.

 

V3 제품에서는 아래와 같이 진단명으로 해당 랜섬웨어를 탐지한다.

 

<V3 제품군의 진단명>

Trojan/Win32.Locky (2016.07.07.01)

W97M/Downloader (2016.07.07.04)

 

V3 등 백신이 랜섬웨어를 진단하고 치료하지만, 이미 랜섬웨어에 의해 암호화된 파일을 복구할 수는 없다. 이에 안랩을 비롯한 주요 보안 업체들이 일부 랜섬웨어에 대한 복구툴을 제공하고 있지만, 해당 록키 랜섬웨어에 대한 복구틀은 없기 때문에 사용자들의 각별한 주의가 필요하다. 

 

안랩은 V3에 최신 랜섬웨어 시그니처를 지속적으로 반영하는 한편, 랜섬웨어에 대한 다계층 방어를 위해 ‘안랩 안티 랜섬웨어 툴’ 베타 버전을 무료로 제공하고 있다. 안랩 안티 랜섬웨어 툴 베타 버전은 안랩 홈페이지의 랜섬웨어 보안 센터를 통해 다운로드 할 수 있다.