스팸을 통해 확산되는 LooCipher 랜섬웨어 발견

New LooCipher Ransomware Spreads Its Evil Through Spam

LooCipher라 명명된 새로운 랜섬웨어가 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다는 사실이 발견되었습니다.

해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 판단됩니다.

LooCipher는 보안 연구원인 Petrovic이 최초로 발견했습니다.

악성 문서를 통해 배포되는 LooCipher

연구원들은 어떤 피싱 캠페인을 통해 랜섬웨어가 배포되는지는 밝히진 못했으나, 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했습니다.

사용자가 해당 악성 문서를 클릭하면, 아래와 같이 매크로를 활성화할 것을 요구합니다.

[그림 1] 악성 Word 문서

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

사용자가 매크로를 활성화시키면, 게이트웨이를 통해 Tor 서버로 연결됩니다.

그리고 http://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe 파일을 다운로드합니다.

아래의 코드에서 확인할 수 있듯이, 이 파일은 LooCipher.exe로 이름이 변경된 후 실행됩니다.

[그림 2] 다운로더 매크로

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

LooCipher 랜섬웨어

랜섬웨어가 실행되면, LooCipher는 윈도우 데스크톱에 컴퓨터 고유 ID, 키 만료 시간, 비트코인 주소를 저장하는 c2056.ini 파일을 생성합니다. 

이 파일에는 해당 파일이 삭제 또는 변경될 경우 파일 복호화를 보장할 수 없다고 명시되어 있습니다.

[그림 3] LooCipher 설정 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

이 랜섬웨어의 파일 암호화 루틴에는 약간의 버그가 있는데, 암호화되지 않은 오리지널 파일을 삭제하는 대신 0 바이트 파일로 남겨둡니다.

또한 암호화된 파일의 복사본을 생성하고 .lcphr 확장자를 붙입니다.

[그림 4] LooCipher로 암호화된 파일

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

그리고 @Please_Read_Me.txt라는 이름의 랜섬노트를 생성합니다. 

여기에는 유로로 표기된 랜섬머니 금액, 송금 받을 비트코인 주소, 지불 방법 등이 포함되어 있습니다. 현재 랜섬머니는 300 유로 또는 약 330 달러입니다.

[그림 5] LooCipher 랜섬노트

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

또한 LooCipher는 바탕화면을 랜섬노트의 내용을 담은 이미지로 변경합니다.

[그림 6] 바탕 화면

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

이후 LooCipher Decryptor 창이 표시됩니다. 이 프로그램은 파일 복호화 키가 삭제되기까지 남은 시간 및 랜섬머니 지불이 이루어졌는지 확인할 수 있는 내용 등을 표시하고 있습니다.

랜섬머니 지불이 확인되면 이 랜섬웨어는 Tor 서버로부터 키를 다운로드한 후 Decrypt 버튼을 활성화해 사용자가 파일을 복호화할 수 있도록 합니다.

하지만 이 프로세스가 실제 동작하는지는 알 수 없습니다.

[그림 7] LooCipher GUI

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/>

LooCipher 실행 파일이 삭제되었을 경우, 랜섬노트와 바탕화면의 mega.nz 링크를 통해 랜섬웨어 인터페이스를 다운로드할 수 있습니다.

현재 이 랜섬웨어는 분석 중에 있으며, 복호화가 가능한지는 밝혀지지 않았습니다.

LooCipher 랜섬웨어로부터 시스템 보호하기

랜섬웨어는 암호화된 데이터를 복구할 다른 방법이 없을 경우에만 피해를 줄 수 있습니다. 

따라서 가장 중요한 것은 파일에 대한 백업을 설정해 두는 것입니다. 

과거 백업을 노리는 랜섬웨어가 발견된 적도 있기 때문에 중요 파일에 대한 백업본은 오프라인에 저장되어야 하며, 랜섬웨어가 접근할 수 없어야 합니다.

또한 LooCipher는 스팸을 통해 확산되고 있으므로 악성 스팸인지 판별하기 전까지 첨부 파일을 클릭하지 않는 것이 중요합니다.

만약, 메일에 첨부된 파일에서 매크로 활성화를 요구할 경우 즉시 파일을 닫고 악성 파일 여부를 백신을 통해 검사해 주시기 바랍니다.

그리고 네트워크에서 인터넷으로 공개적으로 접근 가능한 원격 데스크톱 서비스를 사용하지 않도록 주의해야 합니다.

현재 알약에서는 해당 랜섬웨어에 대해 "Trojan.Ransom.LooCipher"으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/