랜섬웨어

랜섬웨어 LockyCrypt 동작 방식과 대응 방안

1,771    2016-04-19


개요  

LockyCrypt 랜섬웨어란 E-Mail에 MS Office 문서파일을 첨부하여 랜섬웨어를 감염시키는 방법으로 2016년 유행하고 있는 랜섬웨어 중 하나입니다.

현재까지 웹에서의 감염 사례는 없으며 모두 E-Mail로 인해 첨부된 문서파일로 감염된다는 점이 특징입니다.



동작방식 


  

E-Mail에 첨부된 문서파일을 첨부된 Word 파일로 실행할 경우 문자가 깨져 보이며 콘텐츠 (매크로) 사용 여부를 확인합니다. 


Word에서 콘텐츠 사용을 누를 경우 매크로가 동작하게 되며 백그라운드로 랜섬웨어를 다운로드합니다.

이때 랜섬웨어를 다운로드 받는 IP는 수십개가 있으며 다운로드할 IP가 차단될 경우 다운로드 가능한 예비 IP로 다운로드 받게 됩니다.


다운로드 받은 랜섬웨어는 SVChost.exe로 파일명이 변경되어 동작되도록 되어 있습니다.

SVChost.exe는 윈도우 OS에서 동작하는 서비스 호스팅 프로세스이기 때문에 일반적인 사용자는 랜섬웨어가 SVChost.exe로 위장했다는 것을 의심하기 어렵습니다.


이렇게 위장한 SVChost.exe는 지정한 확장자명에 대하여 암호화를 수행하며 암호화된 파일의 확장자명을 locky로 변경합니다.

암호화된 파일들에 대하여 복호화 비용 1~3 비트코인을 요구합니다. (한화 50만 원 ~ 150만 원)



피해 범위

PC에 연결된 자주 사용되는 파일 (Office 확장자, mp3, mp4, jpg, avi 외 40여 가지 확장자)



대응 방안  

1. 출처가 불 확실한 메일 열람 금지 

2. 업무 문서, 각종 이미지 등 주요 파일의 주기적인 백업

3. 화이트리스트 기반의 차단 솔루션의 도입으로 감염을 사전 예방


iMONLOPE (랜섬웨어 대응 솔루션) 문의하기



추가 사항

현재는 자바스크립트를 이용한 랜섬웨어가 등장하여 사용자들의 각별한 주의가 필요합니다.



관련 자료

랜섬웨어 소개 및 대응 방안



댓글 : 0