확장자를 asasin으로 변경하는 Locky 랜섬웨어 변종 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통하여 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의를 당부드립니다. 

※ 관련 글

- 이메일 VBS 첨부파일을 통해 Locky 랜섬웨어 귀환 ▶ 자세히 보기

이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있습니다. 이는 iPhone에서 보낸 송장(Invoice)으로 위장하기 위함으로 보여집니다.

[그림 1] Locky 랜섬웨어 유포에 사용된 악성 메일

이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'Invoice INV0000494.vbs' 이름의 스크립트가 존재하고 있습니다. 이용자가 무심결에 파일을 실행할 경우, C&C에서 Locky 랜섬웨어를 다운로드 및 실행합니다.

[그림 2] 이메일에 첨부된 압축 파일

다음은 VBS 스크립트에서 Locky 랜섬웨어를 다운로드하는 코드의 일부입니다.

[그림 3] Locky 랜섬웨어를 다운로드하는 코드의 일부

[그림 4] C&C에서 다운로드되는 Locky 랜섬웨어

실행된 랜섬웨어는 암호화 대상 파일들을 다음과 같이 변경합니다.

[8자리 문자]-[4자리 문자]-[4자리 문자]-[8자리 문자]-[12자리 문자].asasin

[그림 5] 암호화 대상 파일의 이름 및 확장자 변경

파일 암호화가 완료되었을 경우 이용자에게 랜섬웨어에 감염된 사실을 알리기 위해 바탕화면 경로에 이미지 파일(asasin.bmp), 랜섬노트 파일(asasin.htm)을 생성합니다. 다음은 랜섬웨어 이미지 파일과 랜섬노트 파일입니다.

[그림 6] Locky 랜섬웨어 바탕화면 이미지 파일

[그림 7] 복호화 안내를 유도하는 랜섬노트 파일

랜섬노트에는 암호화된 파일을 복원해주는 대가로 토르 브라우저를 설치하고, 기재된 다크넷 주소로 접속하라는 내용을 담고 있습니다. 실제 다크넷 주소에 접속할 경우 Locky 랜섬웨어 복호화 안내 사이트를 확인할 수 있습니다.

[그림 8] 복호화 안내 절차를 안내하는 Locky 랜섬웨어 다크넷 사이트

올해 8월 경부터 현재까지 Locky 랜섬웨어의 다양한 변종이 발견되고 있으며, 이용자들의 피해가 많이 발생하고 있습니다. 이렇듯 금전 수익을 목표로 한 Locky 랜섬웨어의 활동은 얼마든지 지속적으로 진행될 수 있음을 보여줍니다.

단순히 Locky 랜섬웨어가 아니더라도 랜섬웨어로부터 다양한 위협을 줄이기 위해 윈도우, 애플리케이션 등을 항상 최신 버전으로 업데이트해주시고, 출처를 확인할 수 없는 이메일 내 URL 링크나 첨부파일에 접근을 삼가주시기 바랍니다. 

또한 중요한 자료들은 외장 매체 등에 수시로 백업을 하는 보안 습관을 가져주시기 바랍니다.

현재 알약 제품에서는 Locky 랜섬웨어와 관련된 악성코드들을 'Trojan.Ransom.LockyCrypt', 'Trojan.Downloader.VBS.Agent'로 진단하고 있습니다.