DLL 파일로 유포되는 록키 변종 랜섬웨어 출현

CryptXXX에 이어 국내에 두번째 DLL 파일 랜섬웨어 상륙

[보안뉴스 권 준] 최근 ‘록키(Locky)’ 랜섬웨어가 DLL 파일의 새로운 변종 형태로 국내에 유포되고 있어 사용자들의 각별한 주의가 요구된다.

▲ 2016년 바이로봇 록키 랜섬웨어 대응현황

보안전문기업 하우리(대표 김희천)에 따르면 이번에 새롭게 발견된 록키(Locky) 랜섬웨어 변종은 스팸 메일에 첨부된 스크립트 파일을 통하여 다운로드 하는 방식으로 유포되고 있다. 기존의 랜섬웨어에 비해 매크로를 사용한 문서파일, JS, WSF, VBA 등 더 다양한 스크립트 다운로더 형식을 통해서 유포되고 있는 상황이다.

스크립트 파일이 실행되면 TEMP 경로에 랜덤한 이름으로 DLL 파일과 텍스트 파일을 다운로드 한다. 해당 랜섬웨어는 랜덤한 이름으로 생성되지만 ‘yahoo! Widgets’ 또는 ‘Driver Booster Backup’ 등의 정상파일로 위장하는 파일 설명을 추가하여 사용자의 의심을 피할 수 있다.

▲ 스크립트 파일을 통해 다운로드된 DLL 파일

▲ 신종 록키 랜섬웨어로 암호화 된 파일

이번 변종 록키 랜섬웨어는 ‘rundll32.exe’에 인젝션 되어 동작하며 사용자의 파일을 암호화하고 확장자를 ‘.zepto’로 변경한다. 랜섬웨어를 다운로드했던 스크립트 파일도 암호화하기 때문에 감염 후 스크립트 파일을 확인하기 어렵다.

하우리 보안대응팀 주은지 연구원은 “록키 랜섬웨어는 올해 2월 첫 발견 이후 꾸준히 국내에 유포되고 있다”며, “상대적으로 사용자의 의심을 피할 수 있는 DLL 파일로 유포되고 있기 때문에 앞으로도 국내에 피해 사례를 낳을 것으로 보인다”고 전했다.

이어 그는 “금번 변종 록키 랜섬웨어를 다운받는 스크립트 파일들은 ‘monthly_report’, ‘office_equipment’ 등의 업무용 키워드가 포함되어 유포되고 있기 때문에 특히 각종 기관 및 회사 내 사용자들의 주의를 요한다”고 밝혔다.

이에 하우리 바이로봇 에서는 신규 변종 록키 랜섬웨어에 대해 ‘Trojan.Win32.Locky.159232’ 진단명으로 탐지 및 치료가 가능하며, 바이로봇 에이피티 쉴드를 통해서도 사전차단이 가능하다. 기타 랜섬웨어 관련 정보 및 예방법은 하우리 랜섬웨어 정보센터(http://www.hauri.co.kr/Ransomware)를 통해서 확인할 수 있다.
[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)