[악성코드 분석] DLL 파일로 돌아온 Locky 랜섬웨어 주의

DLL 파일로 돌아온 Locky 랜섬웨어 주의

---

1. 개요

지난 8월 Locky의 변종인 Zepto가 유포되어 사용자를 위협했다. Zepto는 이메일에 첨부된 오피스 매크로를 통해 실행되어 파일을 암호화했으나, 최근 매크로가 아닌 다른 방식을 사용하는 새로운 변종이 발견되었다. 이 신규 변종은 자바스크립트를 통해 랜섬웨어 본체인 DLL 파일을 다운받고 실행시키는 특징을 보인다. 이번 보고서에서는 DLL 파일로 동작하는 변종 Locky 에 대하여 알아본다.

*참고. Locky의 변종, Zepto 랜섬웨어 주의 보고서

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	locky.js (임의의 파일명)
파일크기	88,107 byte
진단명	Script/W32.Locky
악성동작	랜섬웨어 다운로더
네트워크	213.***.**.169 – 랜섬웨어 다운로드

 

구분	내용
파일명	xpJcmRk8Ng.dll (임의의 파일명)
파일크기	135,168 byte
진단명	Ransom/W32.Locky.135168.C
악성동작	파일 암호화
네트워크	138.***.***.196 – C&C

 

2-2. 실행 과정

악성 스크립트 파일은 랜섬웨어 DLL 파일을 다운로드 한다. 다운로드가 완료되면 윈도우 기본 프로그램인 rundll32.exe 를 통해 랜섬웨어 DLL 파일을 실행한다. 실행된 랜섬웨어는 사용자의 파일을 암호화하며, 암호화가 완료된 후 다음과 같은 그림으로 바탕화면을 변경하여 감염 사실을 알린다.

[그림 1] 감염된 사용자 PC 화면

3. 악성 동작

3-1. 랜섬웨어 다운로드 및 실행

악성 스크립트 파일이 실행되면 지정된 사이트로부터 DLL 형태의 랜섬웨어 파일을 다운로드 한다. 이전과는 다르게 랜섬웨어의 인코딩된 데이터를 다운로드 하며, 다운로드가 완료된 후 실행 가능하도록 디코딩한다.

[그림 2] 인코딩 된 랜섬웨어 다운로드

그리고 rundll32.exe 를 통해 랜섬웨어를 실행한다.

[그림 3] rundll32.exe 를 통한 랜섬웨어 실행

3-2. 볼륨 섀도 복사본 삭제 및 파일 암호화 

실행된 랜섬웨어는 볼륨 섀도 복사본을 삭제한다. 볼륨 섀도 복사본이란 특정한 시각의 파일이나 폴더 등을 포함한 스냅샷을 저장해둔 것으로, 사용자가 감염 이전 시점으로 복원하는 것을 방지하고자 이를 삭제하는 것으로 보인다.

[그림 4] 섀도 복사본 삭제

볼륨 섀도 복사본을 삭제한 뒤 사용자의 PC 에서 지정한 확장자 파일을 찾은 뒤 암호화 한다. 암호화된 파일의 확장자는 이전 버전에서와 같이 “.zepto” 로 변경되며, 각 폴더에는” _HELP_instrictions.html” 이라는 랜섬노트가 생성된다. 

[그림 5] 암호화된 파일과 랜섬노트

암호화 대상이 되는 파일의 확장자는 아래 표와 같으며, 국내에서 주로 사용하고 있는 한글문서 확장자인 “.hwp” 도 목록에 있는 것을 확인할 수 있다.

구분

내용

암호화 대상 파일 확장자

.n64 .m4a .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .wallet .upk .sav .re4 .ltx .litesql .litemod .lbf .iwi .forge .das .d3dbsp .bsa .bik .asset .apk .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key

[표 1] 암호화 대상 파일 확장자

랜섬노트는 아래와 같이 사용자의 파일이 암호화 되었음을 알려주며, 복호화 및 결제 페이지로 접속하는 방법을 안내한다.

[그림 6] 랜섬노트 내용

상기의 방법으로 결제 안내 페이지에 접속하면 Locky 복호화 툴 구매 절차를 안내한다. 결제 안내 페이지에서는 한국어도 지원하고 있는 것을 확인할 수 있으며, 사용자에게 2.00비트코인을 요구하고 있다.

[그림 7] 결제 안내 페이지

4. 결론

Locky 랜섬웨어는 지속적으로 변종이 나타나고 있다. 랜섬웨어 피해를 최소화하기 위해선 명확하지 않은 파일을 다운로드하지말고, 파일 실행에 주의하여야 한다. 또한, 만일의 사태를 대비하여 중요 파일을 상시 백업을 해놓아야 피해를 최소화 할 수 있다. 무엇보다 랜섬웨어 탐지가 가능한 백신 프로그램을 설치하고 항상 최신버전으로 업데이트 하는 것이 중요하다.

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다. 또한 nProtect Anti-Virus/Spyware V4.0 에서 랜섬웨어 차단 기능(환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면

[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능