새롭게 등장한 락파일(LockFile) 랜섬웨어는 ‘간헐적 암호화’라는 새로운 기술을 활용해 랜섬웨어 보호를 우회하는 자체 트릭을 사용하고 있는 것으로 조사됐다.

락파일 랜섬웨어 운영자는 ProxyShell 및 PetitPotam과 같은 최근에 공개된 결함을 악용해 윈도우 서버를 손상시키고 파일의 모든 대체 16바이트만 스크램블하는 파일 암호화 멀웨어를 배포해 랜섬웨어 방어를 회피할 수 있는 능력을 제공하는 것으로 나타났다.

즉 이 랜섬웨어의 차별화 전략은 처음 몇 블록을 암호화하지 않는다는 것이다.

이 트릭은 암호화를 감지하기 위해 통계 분석을 사용해 콘텐츠 검사에 의존하는 랜섬웨어 보호 소프트웨어들을 우회할 수 있다.

락파일에 대한 소포스의 분석은 8월 22일 바이러스토탈에 업로드된 내용이다.

락파일은 중요한 파일 및 개체를 암호화하고 락빗2.0과 유사한 랜섬노트를 남긴다. 그리고 특정 이메일 주소 contact@contipauper.com에 연락하라고 협박한다. 이 랜섬웨어는 시스템의 모든 문서가 성공적으로 암호화된 후 시스템에서 스스로를 삭제한다. 사고대응자들과 보안솔루션이 흔적을 찾을 수 없다.

★정보보안 대표 미디어 데일리시큐!★