Locky 자바스크립터 다운로더 랜섬웨어에 대해

2016.03.24 14:00새로운 소식/랜섬웨어 및 위협공지



지난 주 국내를 강타한 Locky 랜섬웨어에 대해 알아보고자 합니다.


Locky 랜섬웨어는 전세계 빠르게 유포되고 있는 매우 주의해야할 보안 위협 입니다. Locky 개발자는 랜섬웨어를 전세계에 빠르게 전파하기 위해 이메일 캠페인을 사용하여 다른 랜섬웨어에 비해 압도적으로 전파하고 있습니다. 지난 주 (해외에서는 지지난 주), 잘 알려지지 않았던 Dridex botnet에 의해 대부분 전파되었는데 지금은 Locky 개발자는 멀웨어를 전파하기 위해 이메일 캠페인을 주로 사용하고  zip 파일에 자바스크립트를 포함한 첨부파일을 포함하여 이메일로 전파하고 있습니다. 이는 주로 피싱 이메일을 통해 사람 들에게 전파하여 정상메일을 가장하여 첨부한 zip 파일을 열어 자바스크립트를 실행하도록 하고 있습니다.



Locky 랜섬웨어는 자바스크립트를 포함한 3가지 형태의 이메일 캠페인을 보내고 있는데 이는 스팸 핕터를 우회하기 위한 목적으로 변종을 만들어 더 많이 전파하도록 하기 위합입니다. 아래 스크립트는 cryptolocker를 다운로드하여 실행하도록 하는 모듈입니다.





자바스크립트를 웹사이트에서 열으면 위의 강조된 것과 같이 Locky 파일이 다운로드되고 실행이 됩니다.


3월 9일 부터 14일까지 어베스트 사용자를 기준으로 208,000건의 이메일 중 163,766건의 Locky 랜섬웨어가 수신되었는데 이는 다시 중가 추세에 있습니다. 아래 그래포에서 볼 수 있듯이 하나의 피싱 이메일 이상의 랜섬웨어를 수신하여 열어 본 것으로 나타났습니다. Y 축은 사용자 수, X 축은 날짜 기준으로 접속한 수를 보여줍니다.




Locky 실행파일 랜섬웨어를 보낸 새로운 도메인 들이 매일 새롭게 추가되고 있으며 일부 도메인은 다른 래섬웨어를 사용하기도 합니다. 예를 들어 spannflow의 하위 도메인은 TeslaCrypt 라는 몸값 지불 사이트를 사용하고 있어 Locy와 TeslaCrypt와의 관계성이 있음을 알 수 있습니다.



 



랜섬웨어 공격은 사용자가 갖고 있는 데이터를 위험에 빠뜨릴 뿐만아니라 사용자들로 하여금 많은 몸값을 요구하여 큰 스트레스를 주고 있습니다. Locky 랜섬웨어는 0.5 비트코인 부터 시작하여 약 2백만원에 달하는 금액을 요구합니다. 이 랜섬웨어에 감염된 사람들 중 약 10%의 사람들이 암호 복구를 위해 비용을 지불한 것으로 추정하고 있습니다. 아래 이미지는 Locky 가 사용한 피싱 메일을 한 사례입니다.





아래 이미지는 Locy가 목표로 공격한 세계지도입니다. 지도 상에는 우리나라는 일본 등에 비해 심각하지는 않았지만 많은 공격을 받은 것을 알 수 있습니다.





어떻게 하면 랜섬웨어 감염을 막을 수 있을 까요?


답은 간단합니다.


  • 현재 사용하는 백신이 안전한가를 확인하고 최신 업데이트를 진행하는 것입니다.
  • 항상 수상한 첨부파일이나 모르는 사람이 보낸 이메일은 열지 않는 것입니다. (doc, xls, zip 파일 등)
  • 중요한 데이터는 반드시 온라인 또는 오프라인으로 보안 영역에 복사본을 백업하는 것입니다.



작성 : 어베스트코리아 (http://www.avastkorea.com)