check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[긴급] 확장자를 asasin으로 변경하는 Locky 랜섬웨어 변종 확산...주의

길민권 기자 mkgil@dailysecu.com 2017년 10월 11일 수요일

▲ Locky 랜섬웨어 바탕화면 이미지 파일
▲ Locky 랜섬웨어 바탕화면 이미지 파일
최근 'asasin'으로 확장자를 변경하는 Locky 랜섬웨어 변종이 악성 메일 등을 통해 국내외로 다수 유포되고 있는 정황이 포착되어 이용자들의 주의가 필요하다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 이번에 Locky 랜섬웨어 유포에 활용된 이메일은 'Invoice INV0000809' 제목과 함께 'Send from my iPhone' 내용을 포함하고 있다. 이는 아이폰에서 보낸 송장(Invoice)으로 위장하기 위한 것으로 추정된다고 밝혔다.

이용자가 이메일에 첨부된 압축 파일 'Invoice INV0000809.7z'에는 'Invoice INV0000494.vbs' 이름의 스크립트가 존재하고 있다. 이용자가 무심코 파일을 실행할 경우, C&C에서 Locky 랜섬웨어를 다운로드 및 실행하게 된다.

파일 암호화가 완료되었을 경우 이용자에게 랜섬웨어에 감염된 사실을 알리기 위해 바탕화면 경로에 이미지 파일(asasin.bmp), 랜섬노트 파일(asasin.htm) 등을 생성한다.

랜섬노트에는 암호화된 파일을 복원해주는 대가로 토르 브라우저를 설치하고, 기재된 다크넷 주소로 접속하라는 내용을 담고 있다. 실제 다크넷 주소에 접속할 경우 Locky 랜섬웨어 복호화 안내 사이트를 확인할 수 있다.

올해 8월 경부터 현재까지 Locky 랜섬웨어의 다양한 변종이 발견되고 있으며, 이용자들의 피해가 많이 발생하고 있다. 금전 수익을 목표로 한 Locky 랜섬웨어의 활동은 지속적으로 진행될 수 있다는 것을 보여준다.

이스트시큐리티 시큐리티대응센터 측은 “단순히 Locky 랜섬웨어가 아니더라도 랜섬웨어로부터 다양한 위협을 줄이기 위해 윈도우, 애플리케이션 등을 항상 최신 버전으로 업데이트 해야 하고 출처를 확인할 수 없는 이메일 내 URL 링크나 첨부파일을 주의해야 한다”며 “또한 중요한 자료들은 외장 매체 등에 수시로 백업을 하는 보안 습관도 꼭 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
태그 랜섬웨어
목록