또 다시 유포되는 Locky 랜섬웨어 주의! 안녕하세요 알약입니다. 올해 2월에 최초 등장한 후 3월부터 4월까지 유행하였던 Locky 랜섬웨어가 또 다시 대량유포되고 있습니다. Locky 랜섬웨어는 이메일 첨부파일 형태로 유입되고 있으며, js파일 형태를 띄고 있습니다. 사용자 여러분들께서는 모르는 발신인에게서 온 이메일에 포함된 첨부파일 실행을 지양해 주시기 바랍니다. 이번에 유포되고 있는 Locky 랜섬웨어 역시, 알약 랜섬웨어 차단기능으로 정상적으로 차단이 가능합니다. 다만, 알약에서 랜섬웨어가 파일을 암호화 시키는 것은 성공적으로 차단하지만, 랜섬웨어에 의하여 사용자 바탕화면 배경이 변경되어 당황하시는 분들도 있을 것으로 예상되는데요. 이런 상황이 만약 발생하신다면 사용자분들께서 다시 바탕화면 ..

악성코드 분석 리포트 2016. 6. 24. 11:04

Trojan.Ransom.LockyCrypt 분석보고서 악성파일 분석(zxcvb.exe) Locky 랜섬웨어는 최근에는 자바스크립트로 유포되고 있지만 이전에는 이메일에 word파일을 첨부하고 word파일을 실행하면 매크로가 포함되어 Locky 랜섬웨어를 다운로드 받게 되어 있었습니다. 문서파일을 실행하면 보안 경고가 뜨면서 매크로를 사용할지 나옵니다. [그림 1] 문서 파일에 포함되어 있는 매크로 매크로는 배열을 복호화 하여 명령어를 생성하며, 해당 명령어를 실행하면 파일을 다운로드 하고 실행하게 됩니다. [그림 2] doc파일에 포함되어 있는 VBA 매크로 문자열을 복호화하면 다음과 같은 명령어가 나오며, 특정 url에서 파일을 다운로드 받는 것을 알 수 있습니다. [그림 3] 복호화된 명령어 현재는 ..

악성코드 분석 리포트 2016. 4. 5. 09:32

Locky 랜섬웨어에 대하여 알아보자! Locky 랜섬웨어란? Locky 랜섬웨어는 파일들을 암호화 한 후 .locky 확장자 명으로 바꿔 Locky 랜섬웨어라 명명되었습니다. Locky 랜섬웨어는 2월 중순에 처음 등장하였으며, 국내에서도 활개를 치고 있습니다. 주로 이메일 첨부파일 형태로 유포되며 초반에는 악성 매크로가 포함된 워드 문서로 유포되었지만, 최근에는 JS파일을 위장하여 유포되고 있는 경우가 훨씬 더 많이 발견되고 있습니다. 해당 JS 파일을 클릭하게 되면, 공격자가 미리 설정해 둔 사이트에 접속하여 Locky 랜섬웨어를 내려받고 실행시킵니다. Locky 랜섬웨어는 로컬 파일뿐만 아니라 네트워크 공유 폴더의 파일들도 RSA-2014, AES-128 알고리즘으로 암호화 하며, 암호화 한 파일..

안전한 PC&모바일 세상/PC&모바일 TIP 2016. 4. 5. 09:32