상세 컨텐츠

본문 제목

Dridex 제작자들이 만든 최신 Locky 랜섬웨어, 워드 doc 파일로 위장

국내외 보안동향

by 알약(Alyac) 2016. 2. 18. 17:24

본문

Dridex 제작자들이 만든 최신 Locky 랜섬웨어, 워드 doc 파일로 위장

Locky ransomware, disguised in Word docs, latest from Dridex creators


Locky라는 이름을 가진 랜섬웨어가 새로 발견되었습니다. 이 랜섬웨어는 Dridex 개발자들이 만든것으로 추정됩니다. 

(▶ Dridex 악성코드 분석보고서 보러가기)


이 랜섬웨어는 보통 이메일로 전파되며, 이 랜섬웨어가 포함된 MS워드파일은 대부분의 안티바이러스를 우회할 수 있는것으로 나타났습니다. 


현재는 대부분의 안티 바이러스 제품들에서 탐지가 되지만, 최초 유포된 후 24시간 동안은 단 3개의 안티바이러스 제품들만이 탐지한 것으로 확인되었습니다. 


이 랜섬웨어는 소셜 엔지니어링 기법을 두번 사용하는데, 첨부파일을 실행하도록 유도할 때와 워드파일의 매크로를 활성화 하라고 유도할 때 입니다. 


일단 사용자가 워드파일을 열면, 마구 섞인듯한 내용이 보이며, 매크로를 활성화 할 경우 정상적인 내용을 볼 수 있다고 안내하며 매크로 활성을 유도합니다. 매크로를 활성화 하면, 원격 서버로부터 %Temp% 폴더에 실행 파일을 다운로드 후 실행하는데, 이 실행파일이 Locky 랜섬웨어이며, 컴퓨터 및 네트워크상의 모든 파일들을 암호화 합니다. 


Locky가 Dridex 뱅킹 멀웨어 제작자들이 만든 것으로 추정 되며, 이는 Neutrino 익스플로잇 키트를 통해 배포되는 것으로 나타났습니다. Locky 랜섬웨어는 복호화 비용으로 0.5 비트코인을 요구하는 것으로 나타났습니다. 이는 약 $209.33 입니다.


현재 알약에서는 Locky랜섬웨어에 대하여 Trojan.Agent.BQLM으로 탐지중에 있습니다. 


참고 :  

http://www.scmagazine.com/dridex-actors-likely-behind-vicious-locky-ransomware-strain/article/475420/

https://blog.knowbe4.com/its-here.-new-ransomware-hidden-in-infected-word-files

https://medium.com/@networksecurity/locky-ransomware-virus-spreading-via-word-documents-51fcb75618d2#.g31e2oguv



관련글 더보기

댓글 영역