ViRobot

하우리샵 바로가기

보안이슈 분석

변종 Locky 랜섬웨어(.ykcol) 감염 주의
등록일 : 2017.09.19

□ 개요

최근 Locky 랜섬웨어가 암호화 확장자를 “.lukitus”에서 “.ykcol”형태로 바꾸어 유포한 정황이 발견되었다. 해당 Locky 랜섬웨어는 VBS(VBScript) 파일 혹은 문서 매크로를 이용하여 유포하고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용

최근 발견된 Locky 랜섬웨어는 사용자 PC의 주요 파일들을 암호화시키고, 암호화된 파일의 확장자를 “.ykcol” 로 변경한다. 현재 Locky 랜섬웨어는 VBS(VBScript) 파일 또는 문서 매크로로 유포되고 있다.



[그림 1] VBS로 유포된 경우


[그림 2] 문서 매크로 파일로 유포된 경우

 

랜섬웨어에 감염될 시 한글파일(.hwp) 확장자도 파일 암호화 대상에 있어 국내 사용자도 공격 대상에 포함되어있음을 알 수 있다. 확장자는 아래 그림과 같이 “.ykcol” 형태로 변경되었다.

 

 

[그림 3] 암호화 전후 비교


파일 암호화 행위를 다 끝낼 시 사용자에게 랜섬웨어 감염 여부를 알리며 결제 페이지 접속을 유도한다.

 

 

[그림 4] Locky 랜섬웨어에 감염된 모습


[그림 5] 비트코인 결제 페이지 

 

Locky 랜섬웨어는 확장자 변조나 파일 유포 방식 등 꾸준히 진화하고 있으며 앞으로도 국내에 유포될 것으로 보인다. 스크립트 혹은 매크로를 함부로 실행하지 않도록 사용자의 각별한 주의가 필요하다.

 

바이로봇 업데이트 내역

Trojan.Win32.Locky 외 다수

  

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html

 

 

 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담