국내 사용자 노리는 선락커 랜섬웨어, 온라인 광고 통해 감염

국내 사용자 노리는 선락커 랜섬웨어, 온라인 광고 통해 감염 AhnLab ASEC 대응팀 l 2018-11-21     최근 국내 사용자를 대상으로 유포되고 있는 새로운 랜섬웨어 선락커(Seon Locker)가 발견되었다. 이 랜섬웨어는 파일리스(Filess)방식으로 동작하며, 온라인 광고를 통해 악성코드를 전파하는 멀버타이징 기법으로 유포되고 있어 사용자의 주의가 필요하다.   [그림 1] 선락커 랜섬노트   선락커 랜섬웨어는 서비스 중인 광고 서버의 취약점을 이용하여 관리자 권한을 획득한 뒤, 해당 광고 페이지에 악성 스크립트를 삽입한다. 이후 사용자가 웹 사이트에 접속하고 있는 동안 광고 페이지에 포함된 악성 스크립트가 동작한다.   [그림 2] 악성 스크립트 정보   악성 광고 페이지에 노출된 사용자는 시스템의 보안 취약점을 이용하여 악성코드를 감염시키는 도구인 그린플래시 선다운(Greenflash Sundown) 익스플로잇 킷 페이지로 연결된다. 그린플래시 선다운 익스플로잇 킷은 사용자 PC에 설치된 어도비 플래시 플레이어의 버전을 확인한 후, 악성 스크립트가 포함된 플래시 파일을 실행한다.   플래시 파일이 실행되면 윈도우 운영 체제의 스크립트 언어를 실행하는 파워쉘(Powershell)을 이용하여 악성코드를 메모리 영역에 실행한다.   선락커 랜섬웨어에 감염되면 암호화된 파일의 확장자가 .FIXT로 변경된다. 이후 [표 1]과 같이 랜섬노트를 생성한다.   V3 제품군에서는 선락커 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Powershell/SeonCrypt - BinImage/Encpe   랜섬웨어를 비롯한 악성코드 감염을 예방하기 위해서는 최신 보안 업데이트를 적용하는 것이 기본이다. 또한 파일을 다운로드할 때 최신 엔진 버전의 백신 프로그램으로 검사 후 실행하기 등의 올바른 습관이 필요하다.