하우리, '록키 랜섬웨어 변종' 주의

[성지은기자] 최근 록키(Locky) 랜섬웨어가 DLL 파일의 새로운 변종 형태로 국내에 유포돼 주의가 요구된다.

하우리는 록키 랜섬웨어 변종이 새롭게 등장했다고 6일 발표했다. 이 랜섬웨어는 스팸메일에 첨부된 스크립트 파일을 통해 다운로드되는 방식으로 유포된다. 기존 랜섬웨어에 비해 매크로를 사용한 문서파일 등 다양한 스크립트 다운로더 형식을 취한다.

스크립트 파일이 실행되면 'TEMP' 경로에 랜덤한 이름으로 DLL 파일과 텍스트 파일을 다운로드한다. 랜섬웨어는 랜덤한 이름으로 생성되지만 '야후 위젯(yahoo! Widgets)' 또는 '드라이버 부스터 백업(Driver Booster Backup)' 등의 정상파일로 위장해 사용자의 의심을 피한다.

이번 변종 록키 랜섬웨어는 'rundll32.exe' 에 인젝션돼 동작하며, 사용자의 파일을 암호화하고 확장자를 '.zepto'로 변경한다. 랜섬웨어를 내려받은 스크립트 파일도 암호화하기 때문에 감염 후 스크립트 파일을 확인하기 어렵다.

주은지 하우리 보안대응팀 연구원은 "록키 랜섬웨어는 올해 2월 첫 발견된 이후 꾸준히 국내에 유포되고 있다"며 "이번 변종 록키 랜섬웨어를 다운받는 스크립트 파일은 'monthly_report', 'office_equipment' 등의 업무용 키워드가 포함돼 유포되기 때문에 특히 각종 기관 및 회사 내 사용자들의 주의를 필요하다"고 전했다.

한편, 하우리는 자사 통합 보안제품 '바이로봇'에서 신규 변종 록키 랜섬웨어를 'Trojan.Win32.Locky.159232'라는 진단명으로 탐지, 치료한다. 바이로봇 에이피티 쉴드를 통해 사전 차단할 수 있다고 회사 측은 설명했다.