포스팅 내용

PC&모바일 TIP

Locky 랜섬웨어에 대하여 알아보자!

Locky 랜섬웨어에 대하여 알아보자!


Locky 랜섬웨어란?


Locky 랜섬웨어는 파일들을 암호화 한 후 .locky 확장자 명으로 바꿔 Locky 랜섬웨어라 명명되었습니다. 


Locky 랜섬웨어는 2월 중순에 처음 등장하였으며, 국내에서도 활개를 치고 있습니다. 


주로 이메일 첨부파일 형태로 유포되며 초반에는 악성 매크로가 포함된 워드 문서로 유포되었지만, 최근에는 JS파일을 위장하여 유포되고 있는 경우가 훨씬 더 많이 발견되고 있습니다. 




해당 JS 파일을 클릭하게 되면, 공격자가 미리 설정해 둔 사이트에 접속하여 Locky 랜섬웨어를 내려받고 실행시킵니다. 


Locky 랜섬웨어는 로컬 파일뿐만 아니라 네트워크 공유 폴더의 파일들도 RSA-2014, AES-128 알고리즘으로 암호화 하며, 암호화 한 파일들의 확장자를 .locky로 바꿔놓으며 한번 암호화된 파일을 복구가 사실상 불가능하기 때문에 주의가 필요합니다.  


파일들의 암호화가 끝나면 아래와 같은 창을 띄워 사용자에게 감염 사실을 알리고 랜섬머니를 요구합니다.




많은 사용자분들이 랜섬웨어가 요구하는 랜섬머니를 주고 복구를 해야하는가에 대해 문의를 해주시는데, 랜섬머니를 준다고 해서 암호화 된 파일들을 100% 복호화 해준다는 보장이 없는 만큼, 랜섬머니를 주는 것은 지양하는 것이 좋습니다. 


랜섬웨어들은 주로 SW 취약점 및 윈도우 취약점을 이용하여 감염되기 때문에, 사용하시는 SW를 항상 최신으로 유지하셔야 하며 윈도우 보안업데이트도 꼭 진행해 주셔야 합니다. 


SW들의 버전 관리 및 윈도우 보안업데이트 관리가 힘드시다면, 알약 익스플로잇과 같은 취약점 관리 프로그램을 이용하여 현재 사용하는 프로그램들의 버전 및 업데이트 상태를 관리해 주셔도 좋습니다. 


현재 알약에서는 Locky 랜섬웨어에 대하여 Trojan.Ransom.LockyCrypt로 탐지하고 있으며, 또한 알약의 랜섬웨어 차단 기능을 통해 성공적으로 Locky 랜섬웨어를 차단하고 있습니다. 




알약 랜섬웨어차단기능을 통한 Locky 랜섬웨어 차단 


그럼 Locky 랜섬웨어를 알약이 어떻게 차단하고 있는지 영상으로 확인해 보실까요?



알약 랜섬웨어 차단 기능이란?

▶ http://blog.alyac.co.kr/492


랜섬웨어 차단 동영상과 함께, 최근에 유포된 Locky 랜섬웨어에 대해 알약맨이 열심히 작성한 상세분석 보고서도 공유드리오니, Locky 랜섬웨어가 어떻게 동작하는지에 대해 더 자세한 내용이 궁금하신 분들은 아래 링크를

통해 Trojan.Ransom.LockyCrypt 분석보고서를 확인해주시기 바랍니다. 


▶ Trojan.Ransom.LockyCrypt 분석보고서 보러가기


  1. 케이지 2016.04.05 12:48  수정/삭제  댓글쓰기

    바로 어제, 갑자기 PC에서 랜섬웨어 감염되었다는 메시지 떠서 깜짝 놀라서 완전 망했구나 생각했는데.. 하드에 있는 제 자료들이 암호화가 안되었더라구요? 랜섬웨어 감염 메시지 떴는데 파일 암호화안되고 저 위에 있는 알림창 떴다면 알약에서 막은거 맞죠? 진짜진짜 감사합니다 T.T 십년감수했어여 다시 한번 감사 T.T

    • 알약(Alyac) 2016.04.05 16:10 신고  수정/삭제

      케이지님 안녕하세요. 알약이 랜섬웨어 공격을 성공적으로 차단하여 도움을 드리게 되어 저희도 기쁩니다^^ 하지만 랜섬웨어는 주로 취약점을 이용하여 유포되기 때문에, 케이지님의 PC에 취약점이 존재하는 한 또다시 랜섬웨어에 감염될 수 있습니다. SW 및 윈도우 업데이트를 항상 최신으로 유지해 주시고 알약도 항상 최신 DB로 유지해 주시기 바랍니다. 행복한 하루 되세요^^

  2. 모범택시 2016.04.06 20:36  수정/삭제  댓글쓰기

    파일 속성에서 '읽기 전용'에다가 체크표시를 해 두면 랜섬웨어 피해를 줄일 수도 있나요?

    • 알약(Alyac) 2016.04.07 11:09 신고  수정/삭제

      안녕하세요. 모범택시님. 초기 랜섬웨어의 경우 파일속성에 쓰기권한을 주지 않고 읽기속성만 부여한 경우 랜섬웨어의 공격을 피할 수 있었지만, 최근에 발견되는 랜섬웨어들은 대부분 읽기속성만 부여되어 있는 문서의 경우도 강제로 권한을 변경하여 암호화를 진행합니다. 따라서, 별도 매체에 문서를 백업하시는 게 가장 확실한 방법이구요. 자주 사용하는 OS와 SW의 최신업데이트를 유지해 주시고, 알약을 설치하셔서 알약 랜섬웨어 차단기능을 활용해 주시는 것도 권장해 드립니다. 좋은 하루 되세요!

  3. 바이러스신고자 2016.04.07 11:25  수정/삭제  댓글쓰기

    네이트메일로는 첨부파일 신고가 막혀있어서
    바이러스토탈 홈페이지에 분석의뢰했습니다. 알약은 탐지 불가능이라고 나오네요

    https://www.virustotal.com/ko/file/fccd631023c5b23ee6e07aa3952211f473cec76c443141ab9cfbff70be27a8a3/analysis/1459995593/

    • 알약(Alyac) 2016.04.11 11:48 신고  수정/삭제

      바이러스신고자님 안녕하세요. 알약 신고하기를 이용하여 의심파일을 보내주시면 저희가 확인후에 DB에 등록하겠습니다. ^^ 감사합니다!

  4. 바이러스신고자 2016.04.12 12:38  수정/삭제  댓글쓰기

    알약 신고하기를 통해서 의심파일을 보내긴 했어요
    의심메일을 eml파일로 저장해서 파일을 만들었는데 그건 괜찮나요?

    • 알약(Alyac) 2016.04.14 10:55 신고  수정/삭제

      바이러스신고자님 안녕하세요. 의심메일을 eml 파일로 저장하여 저희쪽으로 전달주셨다는 말씀이신가요?!

  5. 바이러스신고자 2016.04.15 12:32  수정/삭제  댓글쓰기

    네. eml파일로 저장하여 알약 신고하기를 통해 전달하였습니다
    eml파일로 저장할때 컴퓨터에는 이상이 없는지요?

    • 알약(Alyac) 2016.04.19 11:00 신고  수정/삭제

      바이러스 신고자님 안녕하세요. eml파일로 저장할 때 컴퓨터에는 아무 이상 없습니다^^ 감사합니다~

티스토리 방명록 작성
name password homepage