CryptXXX 이어 국내 두 번째 DLL 파일 랜섬웨어 상륙

▲ 변종 록키 랜섬웨어 스크립트 파일 통해 다운로드된 DLL 파일(위) 및 암호화된 파일(아래)

[아이티데일리] 최근 ‘록키(Locky)’ 랜섬웨어가 DLL 파일의 새로운 변종 형태로 국내에 유포되고 있어 사용자들의 각별한 주의가 요구된다.

7일 보안전문기업 하우리(대표 김희천)는 새로운 DLL 파일 랜섬웨어의 국내 상륙을 알리며 이 같이 밝혔다. 새롭게 발견된 록키 랜섬웨어 변종은 스팸 메일에 첨부된 스크립트 파일을 통해 다운로드 방식으로 유포되고 있으며, 기존 랜섬웨어에 비해 매크로를 사용한 문서파일, ‘JS’, ‘WSF’, ‘VBA’ 등 더 다양한 스크립트 다운로더 형식을 취하고 있다.

스크립트 파일이 실행되면 ‘TEMP’ 경로에 랜덤한 이름으로 DLL 파일과 텍스트 파일이 다운로드된다. 해당 랜섬웨어는 랜덤한 이름으로 생성되지만, ‘야후 위젯(yahoo! Widgets)’ 또는 ‘드라이버 부스터 백업(Driver Booster Backup)’과 같이 정상파일로 위장하는 파일 설명을 추가해 사용자의 의심을 피하고 있다.

이번 변종 록키 랜섬웨어는 ‘rundll32.exe’에 인젝션돼 동작하며, 사용자의 파일을 암호화하고 확장자를 ‘.zepto’로 변경한다. 랜섬웨어를 다운로드했던 스크립트 파일도 암호화하기 때문에 감염 후 스크립트 파일을 확인하기 어렵다는 것이 회사 측의 설명이다.

주은지 하우리 보안대응팀 연구원은 “록키 랜섬웨어는 올해 2월 첫 발견 이후 꾸준히 국내 유포되고 있다. 상대적으로 사용자의 의심을 피할 수 있는 DLL 파일로 유포되고 있기 때문에 앞으로도 국내에 피해 사례를 낳을 것으로 보인다”며, “이번 변종 록키 랜섬웨어를 다운받는 스크립트 파일들은 ‘monthly_report’, ‘office_equipment’ 등의 업무용 키워드가 포함돼 유포되고 있으므로 특히 각종 기관 및 회사 내 사용자들의 주의를 요한다”고 설명했다.

한편, 하우리 바이로봇을 통해서는 신규 변종 록키 랜섬웨어에 대해 ‘Trojan.Win32.Locky.159232’ 진단명으로 탐지 및 치료 가능하며, 바이로봇 APT실드를 통해서도 사전차단 가능하다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지