새로운 다국어 랜섬웨어 록키 (Locky)

게시일: 2016-03-25 l 작성자: Katsuyuki Okamoto (Security Evangelist)

2016년 2월 17일, 트렌드마이크로는 다국어를 지원하는 암호화된 랜섬웨어를 "RANSOM_LOCKY"로 감지 및 차단했습니다. 또한 이 랜섬웨어를 확산하는 악성 스팸이 전 세계적으로 24 만개 이상 확인되고 있습니다.

이 랜섬웨어는 감염된 PC 화면을 협박문 이미지로 변경하고 모든 파일을 암호화 하였음을 사용자에게 알려줍니다. 감염 환경에서 암호화 된 파일은 확장자가 ".locky"로 변경됩니다.

확장자가 .locky 로 변경된 암호화된 파일

그림 1 : 확장자가 ".locky" 로 변경된 암호화된 파일

협박문은 암호화된 파일 복원을 하려면 익명 네트워크인 Tor 사이트에 액세스 해야한다고 지시합니다. "RANSOM_LOCKY"가 표시된 협박문이 유도하는 Tor사이트는 영문만 표시됩니다. 사이트는 이용자에게 해독 프로그램을 0.5 비트코인으로 구입하라는 내용으로 되어있습니다.

Locky가 유도하는 Tor 사이트

그림 2 : "Locky"가 유도하는 Tor 사이트

유도 사이트가 영어로 표시되는 것을 알 수 있듯이 'Locky "는 특정국가를 표적으로 하는 것이 아니라 무차별적으로 금전을 노리는 공격임을 알 수 있습니다. "Locky"의 확산 방법은 매크로형 악성 프로그램을 첨부한 영어 악성 스팸으로 확인됩니다. 첨부 매크로형 악성 프로그램은 실행되면 "Locky"를 악성 사이트에서 다운로드하여 PC를 감염시킵니다. 이 악성 스팸은 "Locky"가 확인된 18 일부터 19 일까지 전 세계적으로 24만 건 이상이 확인되고 있습니다.

■ 피해를 당하지 않기 위해 주의할 점

지난해부터 일반 인터넷 이용자를 노리는 악성 프로그램의 주요 침입 수법으로 이메일을 통한 확산과 Web 경유 (특히 Web 변조 및 악성 광고)의 두가지 경로가 있습니다. 따라서 일반적인 바이러스 백신뿐만 아니라 Web과 메일이라는 양대 침입 경로에 대한 대책을 포함한 종합 보안 제품의 사용이 필수적입니다. 그리고 취약점 대책을 포함하여 악성 프로그램 방지를 게을리하지 않도록 하는 동시에 악성스팸에 대하여 올바른 정보를 가지고 공격자의 수법에 당하지 않도록 노력해야 합니다.

또한 만약 랜섬웨어에 감염되었을 경우의 파일 암호화의 영향을 최소화하기 위해서도 중요한 파일은 자주 백업 할 것을 권장합니다.

■ 트렌드마이크로의 대책

록키 랜섬웨어는 이메일을 통해 감염되므로 기존 스팸 메일 방지에만 한정되어 있던 이메일 보안 시스템을 업그레이드하여 알려지지 않은 신종 랜섬웨어를 찾아서 차단시키는 솔루션이 필요합니다.

트렌드마이크로 DDEI(Deep Discovery Email Inspector)는 샌드박스 분석에 의한 악성 코드를 사전에 탐지하여 차단시키는 기능을 가지고 있습니다.

이미 메일박스를 통하여 엔드포인트에 도달하였다 하더라도 오피스스캔(OfficeScan) 11.0이상 버전이 설치된 PC나 서버에서는 록키가 파일을 암호화하지 못하도록 사전에 방어합니다. 물론 이미 알려진 록키 랜섬웨어는 기존 패턴에 “W2KM_LOCKY”, “X2KM_LOCKY” “RANSOM_LOCKY” 등의 이름으로 등록되어 있어서 자동 차단됩니다.

개인용 클라이언트 종합 보안 제품 ‘트렌드마이크로 맥시멈 시큐리티’ 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.