랜섬웨어

록키(Locky) 랜섬웨어의 새로운 변종 루키투스(Lukitus) 랜섬웨어

2,512    2017-08-22


개요  

최근 Locky 랜섬웨어의 새로운 변종으로 루키투스(Lukitus) 랜섬웨어가 등장하였습니다.

루키투스는 각종 파일을 암호화 한 후 인터넷 기록 삭제를 하여 흔적을 지우는 랜섬웨어입니다.

블랙리스트 개념의 백신을 사용하는 기업 및 사용자에게 감염되는 피해가 발생되고 있습니다.



유입 경로 

1) 스팸 메일을 통한 첨부파일로 유입

2) 인터넷을 통해 정상적인 파일로 위장한 파일 유입


[감염 Flow]

1. 메일에 첨부파일 다운

2. 첨부파일 실행

3, 첨부파일 실행 ▶ 파일 암호화 및 인터넷 기록 삭제

4. 파일 암호화 실행 후 악성코드 파일 자가 삭제

5. html 파일 및 바탕화면 변조를 통해 복호화 안내



감염  

PC 내 문서, 이미지, TXT 등 파일 암호화가 진행되며 이때, USB, 외장하드, 공유 폴더 등 연결되어 있다면 이 또한 모두 감염되어 변조됩니다.

파일이 모두 변조되면 바탕화면이 변경되면서 복호화 방법 안내 메시지가 발생합니다. 

그러나, 복호화 비용을 지불해도 감염 전으로 100% 복구될 보장이 없습니다



[파일명 변조]



[바탕화면 변조]



[웹페이지를 통한 복호화 안내]




악성코드 파일 속성정보




대응 방안  

블랙리스트 기반의 보안 솔루션 사용 시 알려지지 않거나 신종, 변종 악성코드에 대한 사전 차단이 어려워 악성코드에 감염될 확률이 높습니다.


그렇기 때문에 허용 외 비인가 프로그램을 모두 차단하는 White 기반 솔루션을 이용해 프로세스 실행 시 유입될 수 있는 악성코드를 원천 차단해야 합니다.



관련 자료  

랜섬웨어 소개 및 대응 방안



댓글 : 0