본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

피싱 사이트에 숨은 랜섬웨어의 정체는?

by 파스칼바이런 2017. 1. 5.

피싱 사이트에 숨은 랜섬웨어의 정체는?

AhnLab l 2016-12-28

 

 

 

 

하루가 멀다 하고 신•변종 랜섬웨어가 유포되고 있다. 그 중에서도 록키(Locky) 랜섬웨어 변종이 다양한 공격 기법과 결합해 지속적으로 피해를 양산하고 있다. 최근에는 피싱 사이트를 이용한 록키 랜섬웨어 유포가 확인돼 사용자들의 각별한 주의가 요구된다.  

 

지금까지 록키 랜섬웨어는 주로 스팸 메일의 첨부 파일 형태로 유포되었는데, 이번에 발견된 록키 랜섬웨어는 피싱 사이트를 통해 유포되었다. 보다 교묘하게 사용자의 다운로드를 유도하는 한편 백신 등 보안 솔루션의 탐지를 우회하기 위한 것으로 보인다.  

 

이번에 발견된 록키 랜섬웨어를 유포하는 피싱 사이트는 [그림 1]과 같이 워드 웹 앱(Word Web App)에서 워드(doc) 파일 실행 시 추가 플러그인이 필요하다며 사용자의 다운로드를 유도한다. 특히 사이트의 주소도 microsoftoffice.com으로 보이도록 교묘하게 위장해 사용자의 의심을 피하고 있다.

 

[그림 1] 랜섬웨어 유포 피싱 사이트

 

[그림 1]의 메시지 중간에 위치한 다운로드 버튼(Download and install plugin update)을 클릭하면 [그림 2]와 같이 유효하지 않은 디지털 서명의 실행 파일이 다운로드 된다.  

 

[그림 2] 다운로드된 랜섬웨어 파일의 속성 정보

 

이번 록키 변종은 기존의 스팸 메일로 유포되었던 록키 랜섬웨어와 동일한 행위를 수행한다. 감염된 PC의 파일에 대한 암호화를 진행하며, 암호화가 완료 후에는 자기 자신을 삭제한다. 이후 랜섬웨어 감염 알림 메시지(OSIRIS-[문자].htm, bmp 등)를 노출하고 PC의 배경화면을 변경한다. 이때 암호화된 파일의 확장자명이 *.osiris로 변경되는데, 얼마전부터 유포된 록키 랜섬웨어 변종인 오시리스(Osiris) 랜섬웨어임을 알 수 있다.  

 

[그림 3] 생성된 랜섬웨어 감염 알림 메시지 파일

 

V3 제품에서는 해당 록키 랜섬웨어 변종을 다음과 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.Locky (2016.12.13.06)

 

랜섬웨어 유포 방식은 하루가 다르게 진화하고 있지만, 이에 직면하고 있는 사용자들의 보안 의식은 여전히 제자리걸음이다. 랜섬웨어를 비롯한 악성코드 감염 예방에 가장 중요한 것은 사용자의 보안 의식과 습관이다. OS 및 주로 사용하는 응용프로그램의 보안 패치를 신속하게 적용하고, V3 등 사용 중인 백신의 엔진은 항상 최신 버전을 적용해야한다. 또한 발신자를 알 수 없는 의심스러운 메일을 열어보거나 첨부 파일을 실행하지 않아야 하며, 유효하지 않은 디지털 서명의 파일은 설치하지 않는 것이 중요하다.