Home > 전체기사

모든 파일을 ‘.Loki’ 확장자로 암호화되는 ‘로키로커’ 랜섬웨어 주의보

입력 : 2024-09-30 11:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
에브리존 화이트디펜더, 로키로커 랜섬웨어 확인...프로세스 종료 시 강제로 블루스크린 발생
암호화 해제하려면 몸값 지불해야...대부분 비트코인으로 요구

[보안뉴스 김영명 기자] 모든 파일을 ‘.Loki’ 확장자로 암호화하는 형태로 추정되는 침해사고가 최근 발생했다. 해당 랜섬웨어는 ‘로키로커(Lokilocker)’라는 랜섬웨어로, ‘파일명.확장자.Loki’의 형태로 모든 파일을 변경하고 있다.

▲랜섬웨어 종료 시 발생하는 블루스크린[자료=에브리존 화이트디펜더]


에브리존 화이트디펜더는 최근 로키로커 랜섬웨어의 보안 위협에 대해 확인하고 사용자들에게 주의를 당부했다. 로키로커 랜섬웨어 침해 행위 프로세스를 살펴보면, C# 닷넷 기반 랜섬웨어로 내부의 코드 자체는 난독화되어 있다.

▲랜섬웨어 정보가 난독화되어 있는 내부코드[자료=에브리존 화이트디펜더]


이 랜섬웨어는 바탕화면, txt, 윈도 로그인 메시지, 자체 노트를 사용하며 작업관리자를 레지스트리 설정값으로 비활성화하고, 프로세스의 이름을 확인해 Regedit를 실행할 때 강제 종료한다. 기본으로 실행되는 랜섬웨어 외에 시작프로그램 폴더 위치에 winlogon.exe로 재실행 및 윈도 실행 시 자동 실행되고, 랜섬웨어 프로세스를 종료할 경우 강제로 블루스크린을 발생시킨다.

▲암호화 진행 후 자체 출력된 화면[자료=에브리존 화이트디펜더]


안내 파일은 각각의 폴더 위치에 ‘Restore-My-Files.txt’, ‘Crpiv.Loki’ 및 ‘info.hta’ 이름으로 생성되고 암호화가 진행된 각각의 파일들은 ‘파일명.확장자.Loki’의 형식으로 변경된다. 랜섬노트는 ‘info.hta’ 파일이 팝업창으로 띄워지고, ‘Restore-My-Files’라는 이름의 텍스트 파일도 만들어진다.

▲윈도 시작 시 메시지 출력[자료=에브리존 화이트디펜더]


에브리존 화이트디펜더 관계자는 “로키로커 랜섬웨어에 감염되면 PC의 모든 파일이 암호화되어 열 수 없으며, 몸값을 요구하는 랜섬노트 메시지가 html, txt, hat 확장자 형태로 데스크톱에 표시된다”며 “암호화된 파일의 잠금을 해제하려면 몸값을 지불해야 하는데, 대부분 비트코인을 요구하고 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
  •  SNS에서도 보안뉴스를 받아보세요!! 
2025 보안시장 백서 위즈디엔에스 2018
설문조사
올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
XDR
EDR
AI 보안
제로트러스트
공급망 보안 체계(SBOM)
클라우드 보안 솔루션
기타(댓글로)