[악성코드 분석] 다시 돌아온 ‘Locky ransomware’ 감염 주의

다시 돌아온 ‘Locky ransomware’ 감염 주의

1. 개요 

지난 9월 ‘Locky ransomware’가 또 다시 유포되어 사용자를 위협하기 시작했다. 이번에 유포되고 있는 ‘Locky ransomware’ 변종은 ‘.7zip’ 또는 ‘.7z’ 형태로 사용자의 이메일에 발송되어 해당 압축파일을 해제 시, 나오는 스크립트 파일을 통하여 추가 랜섬웨어 파일을 다운로드하여 동작한다.

해당 변종 랜섬웨어 감염 시 원본 파일명과 함께 확장자를 ‘.Ykcol’ 변경하고 있으며 사용자 PC내에 있는 대상 파일들을 암호화하고 있기 때문에 사용자들의 주의가 요구된다.

이번 보고서에서는 다시 유포되고 있는 ‘Locky ransomware’ 에 대해 알아보고 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	(임의의 파일명).vbs
파일크기	9,755 byte
진단명	Script/W32.Locky-Crypt-Downloader
악성동작	다운로더

구분	내용
파일명	cCHtRnVpul.exe
파일크기	649,216 byte
진단명	Ransom/W32.Locky.649216
악성동작	파일 암호화, 금전 요구

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 스크립트 파일을 ‘7zip’, ‘7z’ 형태로 이메일에 첨부하여 이를 실행 시 추가적으로 랜섬웨어 실행파일이 다운로드 되도록 유포되고 있는 것으로 확인 된다.

2-3. 실행 과정

이메일에 첨부되어 있는 악성 스크립트 파일이 실행이 되면, 랜섬웨어 실행파일을 %TEMP% 경로에 다운로드 한다. 그 후 대상이 되는 사용자 PC의 파일을 찾아 암호화 동작을 수행하고, 파일 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.ykcol’로 변경한다. 그리고 복호화를 방법을 알려주는 랜섬노트를 출력한다. 

[그림 1] 감염 된 사용자 바탕화면

3. 악성 동작

3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 EXE형태의 랜섬웨어 파일을 %TEMP% 경로에 다운로드 하고 실행된다. 해당 파일은 암호화 동작이 수행되면 삭제 된다.

[그림 2] 랜섬웨어 다운로드

[그림 3] 다운로드 된 랜섬웨어 실행시키는 부분(스크립트 파일)

3-2. 파일 암호화

해당 랜섬웨어는 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 파일명과 함께 확장자를 ‘.ykcol’ 로 변경하며, ‘ykcol.htm’ 라는 이름의 랜섬노트를 생성한다. 아래는 암호화 된 사용자 파일을 보여준다.

[그림 4] 파일 암호화

구분

내용

암호화 대상 파일 확장자

.001, .002, .003, .004, .005, .006, .007, .008, .009, .010, .011, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .602, .7z, .7zip, .ARC, .CSV, .DOC, .DOT, .MYD, .MYI, .NEF, .PAQ, .PPT, .RTF, .SQLITE3, .SQLITEDB, .XLS, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db3, .db_journal, .dbf, .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .m3u, .m4a, .m4p, .m4u, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .ms11, .msg, .myd, .n64, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sh, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vb, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip

[표 1] 암호화 대상 파일 확장자

3-3. 결제 안내

파일 암호화가 완료되면 해당 랜섬웨어는 암호화된 파일에 대하여 복호화 하기 위한 방법으로 결제 페이지로 접속하는 방법을 안내한다.

[그림 5] 랜섬노트

랜섬노트 방법으로 TOR브라우저를 설치 후 해당 페이지로 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 0.25비트코인을 요구하고 있다.

[그림 6] 결제 안내 페이지

4. 결론

이번 보고서에서 알아 본 해당 랜섬웨어는 이미 예전부터 많이 알려져 왔다. 하지만 최근 확장자가 변경되어진 변종 ‘Locky ansomware’ 는 여러가지 URL을 이용하여 유포하고 있기 때문에 사용자들은 출처가 불분명한 이메일에 대해서는 항상 주의를 기울여야 한다.또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 

[그림] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면