본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

죽은 자의 신 'Osiris'의 유혹? 록키 랜섬웨어 변종 등장!

by 파스칼바이런 2016. 12. 31.

죽은 자의 신 'Osiris'의 유혹? 록키 랜섬웨어 변종 등장!

AhnLab ㅣ 2016-12-14

 

 

 

 

록키(Locky) 랜섬웨어 변종이 지속적으로 나타나고 있는 가운데, 이번에는 암호화한 파일의 확장자명에 ‘.osiris’를 덧붙이는 변종이 확인됐다. 이번 변종까지, 3주 연속으로 록키 랜섬웨어 변종이 나타나는 등 신•변종 랜섬웨어가 등장하는 기간이 더욱 짧아지고 있어 사용자들의 주의가 필요하다.

 

최근 잇따라 발견되고 있는 록키 랜섬웨어 변종의 한 가지 공통점은 신화 속 이름을 차용하고 있다는 것이다. 얼마 전에는 암호화된 파일의 확장자명에 북유럽 신화 속 이름(.thor, .aesir)을 추가하는 것에 이어, 이번에 나타난 록키 변종은 '오시리스(Osiris)'를 추가한다(.osiris). 오시리스는 이집트 신화에서 '죽은 자(死者)의 신’으로 등장한다.

 

일명 ‘오시리스 랜섬웨어’는 기존 록키 랜섬웨어 변종과 마찬가지로 스팸 메일에 첨부된 다운로더 악성코드 형태로 대량 유포되고 있다. 다운로더는 스크립트 파일(js, jse, wsf) 또는 매크로 문서(docm) 형태가 주를 이룬다. 다운로더로 첨부된 JS 파일을 실행하면 특정 URL에 접속하여 랜섬웨어 바이너리를 다운로드한다. 최초 다운로드된 바이너리는 암호화되어 있으며, JS 파일 내 구현된 복호화 기능을 통해 실행파일 형태로 복호화된다.  

 

최근 록키 랜섬웨어 변종은 윈도우(Windows) OS에서 인식하지 않는 형태의 확장자를 랜섬웨어 바이너리에 덧붙이는 기법을 사용하고 있는데, 이는 백신(Anti-virus) 제품의 탐지를 우회하기 위한 것으로 보인다. 오시리스 록키 변종도 [그림 1]과 같이 윈도우 OS에서 인식하지 못하는 ‘zk’라는 확장자를 바이너리에 덧붙이고 있다. 단, JSE(encoded JavaScript) 파일을 통해 다운로드된 록키 랜섬웨어 변종은 윈도우 OS에서 인식 가능한 DLL 확장자로 곧바로 복호화된다.

 

 [그림 1] 오시리스 록키 변종 복호화 전후 비교

 

 

다운로드 된 랜섬웨어 바이너리는 rundll32.exe를 통해 실행되며, 이후에 3개의 C&C 서버에 연결하는 것으로 확인됐다. 이러한 과정을 거친 후 PC 내 파일을 암호화하고 [그림 2]와 같이 감염 메시지가 나타난다.

 

[그림 2] 오시리스 록키 변종의 랜섬 메시지 및 암호화된 파일

 

 

V3 제품에서는 오시리스 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

JS/Obfuscated (2016.12.07.00)

Trojan/Win32.locky (2016.12.08.02)

 

록키 랜섬웨어는 전세계적으로 광범위하게, 다량으로 변종이 유포되고 있어 피해가 확산될 우려가 높다. 따라서 록키를 포함해 일단 랜섬웨어에 감염되고 나면 사실상 파일 복구가 어렵기 때문에 평소 아래와 같은 보안 수칙을 준수하는 것이 무엇보다 중요하다.

 

<랜섬웨어 피해 예방 기본 수칙>

 

1. 최신 버전의 OS 설치 (구 버전 OS는 취약점에 대한 보안 업데이트가 제공되지 않음)

2. 웹 브라우저, 자바, 플래시 플레이어 등 주요 애플리케이션의 최신 버전 사용

3. 자바, 플래시 플레이어가 반드시 필요하지 않을 경우에는 삭제

4. 이용 중인 백신(Anti-virus) 프로그램에 최신 엔진 버전 적용 및 실시간 감시 기능 사용

5. 수상한 이메일 및 첨부 파일 확인 지양

6. 주기적인 데이터 백업