본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
록키(Locky) 랜섬웨어 변종 등장2017.09.29
개요
  • 악성코드 분석가 coldshell, 암호화된 파일의 확장자를 .ykcol로 변경하는 록키 랜섬웨어 변종 발견(9.18.)
     

  

주요내용

 

  • 현재 “Status of invoce”의 메일 제목으로 전파 되고 있으며, 첨부된 악성코드는 7zip 혹은 7z의 압축 파일 형태로 전파
    - 이메일 시스템의 첨부파일 필터를 우회하기 위하여 7zip, 7z의 압축파일 형태로 전파하는 것으로 추정
<그림1. 스팸 이메일>
스팸 이메일
 
  • 파일이 실행되면 컴퓨터 내의 파일들을 스캔하고 파일 암호화 후 확장자를 .ykcol으로 변경
<그림2. 암호화된 파일>
암호화된 파일 
 
  • 파일 암호화가 끝나면 다운로드 된 실행 파일을 제거하고 랜섬노트를 게시
    - 랜섬노트에는 파일 복호화 방법에 대한 정보가 기재
<그림3. 복호화 방법을 안내한 랜섬 노트>
 복호화 방법을 안내한 랜섬 노트
 
  • 랜섬웨어에 감염된 파일의 복호화를 위한 지불 금액으로 .25BTC 또는 약$1025USD를 요구
<그림4. 복호화를 위한 지불 사이트>
복호화를 위한 지불 사이트

 
 

시사점

 

  1. 출처가 불분명한 메일의 첨부파일 실행금지
  2. 윈도우, 자바, 플래쉬 등 프로그램 최신 보안 패치 적용
  3. 보안 프로그램의 최신 버전 유지 및 실시간 감시 기능 실행


[출처]
1. https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/



작성 : 침해대응단 종합대응팀
키워드 랜섬웨어 , 록키 , 변종