포스팅 내용

악성코드 분석 리포트

MS 워드 매크로 사용 문서(.docm) 이용한 Locky 랜섬웨어 주의!

MS 워드 매크로 사용 문서(.docm) 이용한 Locky 랜섬웨어 주의!



Microsoft Word 매크로 사용 문서(.docm)를 이용한 Locky 랜섬웨어가 국내에 유포되고 있습니다. 공격자는 이메일 차단 솔루션의 차단로직을 우회하기 위해 DOC 파일이 아닌 DOCM 파일을 이용하고 있습니다.


DOCM파일(Word Open XML Macro-Enabled Document file)은 오피스 2007부터 도입된 파일 확장자로, 해당 문서에 매크로가 포함되어 있다는 것을 의미합니다.




Locky 랜섬웨어의 경우 미국, 일본, 중국 등 해외에서 온 송장(Invoice)나 결제 등을 사칭한 doc, xls 문서에 악의적 코드로 작성된 매크로를 포함시켜 사용자로 하여금 랜섬웨어 다운로드 및 실행을 유도하고 있습니다. 또한 매크로가 활성화되어 있지 않은 경우, 사회공학적 기법을 활용하여 매크로를 활성화하도록 만들기도 합니다. 


Locky 랜섬웨어 관련내용 참고



지난 3일에는 첨부파일에 기존 JS가 아닌 JSE 스크립트를 포함시켜 Cerber 랜섬웨어를 유포하는 변종이 국내에 유입되어 알약에서 ▶관련내용을 공유한 바 있습니다. 이어 7월 5일에는 DOCM 매크로 파일 형태의 공격이 유입되고 있어 주의가 필요합니다.


사용자분들께서는 낯선 메일에 첨부되어 있는 파일을 함부로 열어보지 말 것을 당부 드리며, 사용하는 백신을 최신 상태로 업데이트하는 등 관련 보안 수칙을 잘 지켜주시기 바랍니다.


현재 알약 행위기반 랜섬웨어 차단기능을 활용할 경우, 별도의 기능 설치 없이 Locky, CryptXXX, Cerber 등 국내에 주로 발견되고 있는 랜섬웨어를 완벽하게 차단할 수 있습니다.


알약은 DOCM 확장자 Locky 랜섬웨어를 Trojan.Downloader.DOC.Gen, Trojan.Ransom.LockyCrypt로 탐지하고 있습니다.




티스토리 방명록 작성
name password homepage