check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

스팸 통해 확산되는 LooCipher 랜섬웨어 발견돼…주의

길민권 기자 mkgil@dailysecu.com 2019년 06월 25일 화요일

hacker-symbol-2714262_640.jpg
LooCipher라 명명된 새로운 랜섬웨어가 보안 연구원인 Petrovic에 의해 발견됐다. 이 랜섬웨어는 사용자를 감염시키는 실제 공격에 활발히 악용되고 있다.

해당 랜섬웨어가 어떻게 배포되는지는 확실히 밝혀지지 않았으나, 지금까지 발견된 파일로 미루어 볼 때 스팸 캠페인을 통해 유포되는 것으로 추정된다.

이를 발견한 연구원들은 해당 랜섬웨어가 악성 워드 문서인 "Info_BSV_2019.docm"를 통해 유포된다는 사실을 발견했다. 사용자가 해당 악성 문서를 클릭하면 매크로를 활성화할 것을 요구한다. 사용자가 매크로를 활성화시키면, 게이트웨이를 통해 토르 서버로 연결된다. 그리고 특정 파일을 다운로드하고 이 파일은 LooCipher로 이름이 변경된 후 실행된다.

랜섬웨어가 실행되면, LooCipher는 윈도우 데스크톱에 컴퓨터 고유 ID, 키 만료 시간, 비트코인 주소를 저장하는 c2056.ini 파일을 생성한다.

이 파일에는 해당 파일이 삭제 또는 변경될 경우 파일 복호화를 보장할 수 없다고 명시되어 있다. 이 랜섬웨어의 파일 암호화 루틴에는 약간의 버그가 있는데, 암호화되지 않은 오리지널 파일을 삭제하는 대신 0 바이트 파일로 남겨둔다.

또한 암호화된 파일의 복사본을 생성하고 .lcphr 확장자를 붙인다. 그리고 @Please_Read_Me.txt라는 이름의 랜섬노트를 생성한다.

여기에는 유로로 표기된 랜섬머니 금액, 송금 받을 비트코인 주소, 지불 방법 등이 포함되어 있다. 현재 랜섬머니는 300 유로 또는 약 330 달러다. 또한 LooCipher는 바탕화면을 랜섬노트의 내용을 담은 이미지로 변경한다.

이후 LooCipher Decryptor 창이 표시된다. 이 프로그램은 파일 복호화 키가 삭제되기까지 남은 시간 및 랜섬머니 지불이 이루어졌는지 확인할 수 있는 내용 등을 표시하고 있다.

랜섬머니 지불이 확인되면 이 랜섬웨어는 토르 서버로부터 키를 다운로드한 후 Decrypt 버튼을 활성화해 사용자가 파일을 복호화할 수 있도록 한다. 하지만 이 프로세스가 실제 동작하는지는 알 수 없다.

LooCipher 실행 파일이 삭제되었을 경우, 랜섬노트와 바탕화면의 mega.nz 링크를 통해 랜섬웨어 인터페이스를 다운로드할 수 있다. 현재 이 랜섬웨어는 분석 중에 있으며 복호화가 가능한지는 밝혀지지 않았다.

이스트시큐리티 측은 “랜섬웨어는 암호화된 데이터를 복구할 다른 방법이 없을 경우에만 피해를 줄 수 있다. 따라서 가장 중요한 것은 파일에 대한 백업을 설정해 두는 것”이라며 “과거 백업을 노리는 랜섬웨어가 발견된 적도 있기 때문에 중요 파일에 대한 백업본은 오프라인에 저장되어야 하며, 랜섬웨어가 접근할 수 없어야 한다”고 권고했다.

또 “LooCipher는 스팸을 통해 확산되고 있으므로 악성 스팸인지 판별하기 전까지 첨부 파일을 클릭하지 않는 것이 중요하다. 만약 메일에 첨부된 파일에서 매크로 활성화를 요구할 경우 즉시 파일을 닫고 악성 파일 여부를 백신을 통해 검사해야 한다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
태그 랜섬웨어
목록