록키

Locky
록키
에일리어스
  • 몸값: Win32/Locky.A(Microsoft)
  • 트로이 목마 인코더3976 (박사))
  • Win32/파일코더Locky.A(ESET)
  • Malicious_Behavior.VEX.99 (포트넷)
  • 트로이 목마.Win32.파일코더(Ikarus)
  • 트로이목마-랜섬Win32.Locky.d (Kaspersky 랩)
  • 트로이 목마 크립토록커AF(시만텍)
  • 랜섬_LOCKY.A(트렌드 마이크로)
유형트로이 목마
서브타입랜섬웨어
작성자네쿠르

Locky는 2016년에 출시된 랜섬웨어 악성 프로그램입니다.악의적[1]매크로가 포함Microsoft Word 문서가 첨부되어 전자 메일(대금이 필요한 청구서라고 생각됨)로 전달됩니다.사용자가 문서를 열면 횡설수설로 가득 차 있고, 사회공학적 기법인 "데이터 인코딩이 올바르지 않으면 매크로를 활성화하라"는 문구가 포함되어 있습니다.매크로를 유효하게 하면, 실제의 암호화 트로이 목마를 다운로드하는 바이너리 파일을 보존해 실행합니다.이것에 의해, 특정의 확장자에 일치하는 모든 파일이 암호화됩니다.파일명은, 일의의 16 문자와 숫자의 편성으로 변환됩니다.처음에는 이러한 암호화된 파일에는 .locky 파일 확장자만 사용되었습니다.그 후 .zepto, .odin, .aesir, .thor 및 .zzzz 등의 파일 확장자가 사용되었습니다.암호화 후 Tor 브라우저를 다운로드하고 범죄자가 운영하는 특정 웹 사이트를 방문하라는 메시지가 나타납니다(사용자 데스크톱에 표시됨).웹사이트에는 0.5~1비트코인의 지불을 요구하는 지침이 포함되어 있다(2017년 11월 기준, 1비트코인의 가치는 9,000달러에서 10,000달러 사이로 변동).잠금 장치를 찾으려면 지침을 매우 명확하게 따라야 합니다.범죄자들이 개인 키를 소유하고 있고 원격 서버가 이들에 의해 제어되기 때문에 희생자들은 그들의 [2][3]파일을 해독하기 위해 돈을 지불하게 됩니다.

암호화된 파일

작동

가장 일반적으로 보고된 감염 메커니즘은 코드가 포함된 Microsoft Word 문서 첨부 파일이 포함된 전자 메일을 수신하는 것입니다.이 문서는 횡설수설하며 매크로를 활성화하여 문서를 표시하도록 사용자에게 요청합니다.매크로를 유효하게 해 문서를 열면,[4] Locky 바이러스가 기동합니다.바이러스가 시작되면 사용자 시스템의 메모리에 로드되어 문서가 hash.locky 파일로 암호화되고 .bmp 및 .txt 파일이 설치되며 사용자가 액세스할 [5]수 있는 네트워크 파일을 암호화할 수 있습니다.이것은 대부분의 랜섬웨어와는 다른 경로입니다.이는 트로이 목마에 의해 설치되거나 이전 [6]부정 이용을 사용하는 것이 아니라 매크로와 첨부 파일을 사용하여 전파하기 때문입니다.

갱신

2016년 6월 22일 Necurs는 새로운 로더 컴포넌트를 탑재한 새로운 버전의 Locky를 출시했습니다.이 버전에는 가상 머신 내에서 실행 중인지 물리 머신 내에서 실행 중인지의 검출과 명령 [7]코드 재배치 등 몇 가지 검출 회피 기술이 포함되어 있습니다.

Locky가 출시된 이후 암호화된 파일에 서로 다른 확장자를 사용하는 수많은 변종들이 출시되었습니다.이러한 확장의 대부분은 노르드 신화와 이집트 신화의 신들의 이름을 따서 붙여졌다.처음 출시되었을 때 암호화된 파일에 사용된 확장자는 입니다.Locky. 다른 버전에서는 암호화된 파일에 .zepto, .odin, .shit, .thor, .aesir 및 .zzzz 확장자를 사용했습니다.2016년 12월에 출시된 최신 버전은 암호화된 [8]파일에 .osiris 확장자를 사용합니다.

배포 방법

랜섬웨어가 출시된 이후 록키에는 다양한 유통수단이 사용되고 있다.이러한 배포 방법에는 악용 키트,[9] 악의적인 [10]매크로가 있는 Word 및 Excel 첨부 파일, DOCM [11]첨부 파일 및 압축된 JS [12]첨부 파일이 포함됩니다.

Locky를 포함한 랜섬웨어로부터 자신을 보호하기 위한 보안 전문가들 간의 일반적인 합의는 설치된 프로그램을 최신 상태로 유지하고 알려진 송신자의 첨부 파일만 여는 것입니다.

암호화

Locky는 RSA-2048 + AES-128 암호와 ECB 모드를 사용하여 파일을 암호화합니다.키는 서버 측에서 생성되므로 수동 복호화가 불가능하며 Locky 랜섬웨어는 모든 고정 드라이브, 이동식 드라이브,[13] 네트워크 및 RAM 디스크 드라이브의 파일을 암호화할 수 있습니다.

유병률

Locky는 2016년 2월 16일 약 50만 명의 사용자에게 전송되었으며, 공격자가 수백만 [14]명의 사용자에게 배포한 직후에 전송되었다고 보고되었다.새로운 버전에도 불구하고, 구글 트렌드 데이터는 감염이 2016년 [15]6월경 감소했음을 보여준다.

주목할 만한 사고

2016년 2월 18일 헐리우드 장로교 메디컬 센터는 환자 [16]데이터를 위한 암호 해독 키에 대해 비트코인 형태로 17,000 달러의 몸값을 지불했다.그 병원은 Microsoft Word [17]청구서로 위장한 이메일 첨부파일이 배달되면서 감염되었다.이로 인해 랜섬웨어 전반에 대한 두려움과 지식이 높아졌고 랜섬웨어가 다시 한번 대중의 주목을 받게 되었다.랜섬웨어가 병원을 공격하는 데 사용되는 경향이 있으며 점점 커지고 있는 것으로 보인다.[18]

5월 31일, Necurs는 C&C [citation needed][original research?]서버의 결함으로 인해 휴면 상태에 들어갔습니다.Softpedia에 따르면 Locky 또는 Dridex가 첨부된 스팸 이메일이 적었다고 합니다.그러나 6월 22일 말웨어Tech는 C&C 서버가 디지털 서명된 응답으로 응답할 때까지 Necurs의 이 일관되게 DGA를 폴링하는 것을 발견했습니다.이 상징적 네커스는 더 이상 휴면 상태가 아니었다.사이버 범죄 그룹은 또한 Locky와 Dridex의 새롭고 개선된 버전이 첨부되어 있는 매우 많은 양의 스팸 메일을 보내기 시작했고,[7][19] 이메일에 새로운 메시지와 압축된 JavaScript 코드도 보내기 시작했다.

2016년 4월, Dartford Science & Technology College 컴퓨터가 바이러스에 감염되었습니다.한 학생이 감염된 이메일을 열어 많은 학교 파일을 빠르게 퍼트리고 암호화했다.바이러스는 몇 주 동안 컴퓨터에 남아 있었다.결국 그들은 모든 컴퓨터에 대해 시스템 복원을 사용하여 바이러스를 제거하는데 성공했습니다.

스팸 메일 벡터

Locky를 첨부 파일로 사용하는 메시지의 예를 다음에 나타냅니다.

친애하는 (랜덤 이름):

상기 건에서 제공된 서비스 및 추가 지불에 대한 청구서를 첨부합니다.

이상, 고객님께서 만족하시기를 바랍니다.

진심으로,

(가칭)

(제목)

레퍼런스

  1. ^ Sean Gallagher (February 17, 2016). ""Locky" crypto-ransomware rides in on malicious Word document macro". arstechnica.
  2. ^ "locky-ransomware-what-you-need-to-know". Retrieved 26 July 2016.
  3. ^ "locky ransomware". Retrieved 26 July 2016.
  4. ^ Paul Ducklin (February 17, 2016). "Locky ransomware: What you need to know". Naked Security.
  5. ^ Kevin Beaumont (February 17, 2016). "Locky ransomware virus spreading via Word documents".
  6. ^ Krishnan, Rakesh. "How Just Opening an MS Word Doc Can Hijack Every File On Your System". Retrieved 30 November 2016.
  7. ^ a b Spring, Tom. "Necurs Botnet is Back, Updated With Smarter Locky Variant". Kaspersky Lab ZAO. Retrieved 27 June 2016.
  8. ^ "Locky Ransomware Information, Help Guide, and FAQ". BleepingComputer. Retrieved 9 May 2016.
  9. ^ "AFRAIDGATE RIG-V FROM 81.177.140.7 SENDS "OSIRIS" VARIANT LOCKY". Malware-Traffic. Retrieved 23 December 2016.
  10. ^ Abrams, Lawrence. "Locky Ransomware switches to Egyptian Mythology with the Osiris Extension". BleepingComputer. Retrieved 5 December 2016.
  11. ^ "Locky Ransomware Distributed Via DOCM Attachments in Latest Email Campaigns". FireEye. Retrieved 17 August 2016.
  12. ^ "Locky Ransomware Now Embedded in Javascript". FireEye. Retrieved 21 July 2016.
  13. ^ "Locky ransomware". Retrieved 8 September 2017.
  14. ^ "locky ransomware threats". Archived from the original on 28 August 2016. Retrieved 26 July 2016.
  15. ^ "Google Trends". Google Trends. Retrieved 2016-08-14.
  16. ^ Richard Winton (February 18, 2016). "Hollywood hospital pays 17,000 bitcoin to hackers; FBI investigating". LA Times.
  17. ^ Jessica Davis (February 26, 2016). "Meet the most recent cybersecurity threat: Locky". Healthcare IT News.
  18. ^ Krishnan, Rakesh. "Ransomware attacks on Hospitals put Patients at Risk". Retrieved 30 November 2016.
  19. ^ Loeb, Larry. "Necurs Botnet Comes Back From the Dead". Security Intelligence. Retrieved 27 June 2016.