하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

파워쉘을 이용한 Locky랜섬웨어 감염 주의
등록일 :
2017.04.06

□ 개요

최근 파워쉘을 이용하여 감염되는 Locky 랜섬웨어가 발견되었다. 이전과 다른 방법으로 유포되고 있는 만큼 PC 이용자들의 각별한 주의가 요구된다.

 

□ 내용

"파워쉘(PowerShell)”은 시스템 관리용으로 특별히 설계된 작업 기반 명령줄 쉘 및 스크립트 언어이다. 파워쉘은 주로 윈도우 운영 체제 및 응용 프로그램의 관리를 쉽게 제어하고 자동화하는 데 사용된다. 최근 이러한 기능이 랜섬웨어를 유포하는 데 악용되고 있다.

이번에 확인된 Locky 랜섬웨어는 이메일을 통해 메모장으로 위장한윈도우 바로가기(.LNK)” 파일 형태로 유포되었다. 사용자가 해당 바로가기 파일을 실행할 경우, 파워쉘 프로그램이 동작하여 사용자 PCLocky 랜섬웨어를 다운로드하여 실행한다.

윈도우 바로가기 파일은 특정 경로의 프로그램을 빠르게 실행할 수 있도록 도와주는 파일이지만, 이를 이용해 파워쉘을 동작시켜서 랜섬웨어를 다운로드하고 실행하는 등의 용도로 악용되고 있다.


 [그림 1] 메모장으로 위장한 바로가기 파일

 

바로가기 파일에는 Locky 랜섬웨어를 다운받는 명령어가 들어있으며 실제 TEMP 폴더에 랜섬웨어를 다운받아 실행한다.  

 

 

[그림 2] 다운로드된 랜섬웨어 파일


실행된 Locky 랜섬웨어는 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화하여 몸값을 요구하며, 암호화된 파일은 확장자가 “.OSIRIS”로 변경되어 더 이상 파일을 사용할 수 없게 된다.



[그림 3] Locky 랜섬웨어에 감염되어 암호화된 파일

 

금번처럼 랜섬웨어를 유포하는 공격자들은 계속해서 다양한 방법을 사용하여 진화하고 있어 지속적인 관찰이 필요하다. 또한 랜섬웨어 뿐만 아니라 최근 파워쉘을 통해 유포되는 악성코드가 증가하고 있기 때문에 사용자들의 주의가 필요하다. 파워쉘이 꼭 필요한 경우가 아니라면 파워쉘 실행을 차단하여 악성코드 감염의 피해를 최소화 할 수 있다.  

 

 

 

 

바이로봇 업데이트 내역

LNK.S.Agent.2810

Trojan.Win32.S.Locky.396288

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html


 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top