본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

이번엔 DLL 형태의 록키 랜섬웨어…주의!

by 파스칼바이런 2016. 9. 15.

이번엔 DLL 형태의 록키 랜섬웨어…주의!

AhnLab / 2016-09-07

 

 

 

 

록키 랜섬웨어가 문서 파일, 스크립트 파일에 이어 DLL 파일 형태로 유포되기 시작했다. 지속적으로 변종이 유포되고 있는 만큼 사용자들의 주의가 필요하다.

 

록키(Locky) 랜섬웨어는 올해 2월 처음 발견되어 심각한 피해를 입혔으며, 이후 지속적으로 파일 형태를 바꿔가며 진화된 방식으로 유포되고 있다. 초기에는 다른 랜섬웨어들과 마찬가지로 문서 파일로 위장하여 유포되었으나 이후 스크립트 파일 형태로 유포되면서 파일 암호화 후 확장자를 zepto로 변경하는 등의 특징을 보이기도 했다. 이번에 발견된 록키 랜섬웨어는 DLL 파일을 이용하고 있다.

 

DLL (dynamic linking library) 파일은 윈도우 등의 운영체제에서 소프트웨어 실행 시 메모리상에 로드되어 프로세스를 형성하는 파일로, 확장자가 '.dll'로 표시되기 때문에 DLL 파일이라고 부른다. 이번에 발견된 록키 랜섬웨어에 앞서 크립트XXX(CryptXXX)가 DLL 파일을 이용해 유포된 바 있다.

 

DLL 파일을 이용한 록키 랜섬웨어도 기존과 같이 자바스크립트(.js) 형태의 다운로더 파일이 첨부된 스팸 메일을 통해 유포된다. 다른 점은 이 다운로더 악성코드가 실행될 때 DLL 파일이 임시 폴더에 다운로드된 후 rundll32.exe를 통해 실행된다는 점이다.

 

 

[그림 1] Rundll32를 통한 록키 랜섬웨어 감염 (malware-traffic-analysis.net)

 

 

스팸 메일을 통해 유입된 다운로드 악성코드를 실행하면 특정 URL 연결을 통해 아래와 같은 %Temp% 폴더에 랜섬웨어 파일을 다운로드한다.

 

 

[표 1] 록키 랜섬웨어 다운로드 경로

 

 

이렇게 다운로드된 DLL파일이 실행되면 [그림 2]와 같이 바탕화면에 랜섬웨어 감염 알림 메시지가 나타난다.

 

 

[그림 2] 록키 랜섬웨어 감염 메시지

 

 

또한 [표2]와 같이 암호화된 파일의 파일명과 확장자가 변경된다. 확장자명이 zepto로 변경되는 점은 스크립트 파일 형태로 유포된 록키 랜섬웨어와 동일하다.

 

 

[표 2] 변경된 파일명 및 확장자

 

 

V3 제품에서는 해당 록키 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.Locky (2016.08.24.05)

JS/Obfus.S111 (2016.08.25.00)

 

일단 랜섬웨어에 감염되어 파일이 암호화되면 거의 복구하기 어렵다. 따라서 다른 어떤 악성코드보다 랜섬웨어는 사전 예방이 중요하다. 랜섬웨어 피해 예방을 위해 평소 OS 및 주요 프로그램의 최신 보안 업데이트를 적용하고, 중요한 데이터는 주기적으로 백업을 해두는 것이 바람직하다.

 

한편 안랩은 지속적으로 나타나는 신•변종 랜섬웨어 피해를 예방하기 위해 최근 자사 윈도우용 V3 제품군에 랜섬웨어 대응 기능을 추가했다. 랜섬웨어 대응을 비롯해 더욱 강력한 기능이 업그레이드 된 V3에 관한 보다 자세한 정보는 아래 링크를 통해 확인할 수 있다.