국내 금융기관으로 유입...매크로 기능 이용해 감염, 한글문서도 타깃
[보안뉴스 김경애] 국내 금융기관으로 유입되는 신종 랜섬웨어 ‘록키(Locky)’가 등장해 이용자들의 주의가 요구된다.
랜섬웨어 록키는 Dridex 악성코드와 같이 MS 오피스 문서 매크로 기능을 이용해 감염시키며, 한글문서 파일(HWP)도 타깃으로 하고 있다.
지난 주 최초로 록키 랜섬웨어가 나타났으며, 국내에는 지난 17일부터 지속적으로 발견되고 있는 것으로 분석됐다.
이에 대해 하우리 측은 “록키 랜섬웨어의 공격대상에는 대한민국도 포함되어 있다”며 “문서파일의 매크로를 실행하면 악성코드를 다운로드 받아 사용자의 PC를 감염시킨다”고 말했다.
문서파일에 삽입되어 있는 매크로는 Temp 폴더에 악성파일을 다운받아 실행한다.
C:\Documents and Settings\Administrator\Local Settings\Temp\악성.exe 파일을 생성하며, wallet.dat, .stw, .max, .ots emd 등 총165개 확장자를 가진 파일을 암호화시킨다.
하우리 최상명 CERT 실장은 “록키 랜섬웨어는 기존에 해외에서 뱅킹 악성코드를 만들던 조직이 새롭게 기획해서 자체적으로 만든 랜섬웨어”라며 “파일을 암호화한 후 파일 확장자에 ‘.locky’를 추가해 식별되도록 한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>