|
[MalSpam] Win32/Ransomware.Locky (Ext: .Lukitus) 침해사고분석팀 2017.08.31 |
|
|
* 해당 게시물은 국내/외 스팸메일 사례를 소개하여 스팸메일로 발생하는 피해를 줄이는 목적으로 제작됩니다.
유포 방식: E-Mail 첨부파일
메일 내용 - 제목: Emailing: Payment_2708-838 - 내용: 당신의 컴퓨터를 보호하기 위해 전자 메일 프로그램은 특정 유형의 첨부 파일을 보내거나 받습니다. 이메일을 확인, 보안 설정을 사용하여 첨부 파일 방법을 결정할 수 있습니다.
[그림 1] 스팸메일 원본 (myonlinesecurity)
[첨부파일] Likitus Ransomware Downloader 행위: Locky Ransomware Downloader
파일 이름: Payment_2708-838
확장자: .7z → JS
파일 크기: 25,236 bytes
C2: hxxp://florian-koenig[.]de/sdgLKJvgh??VdmOxo=YJLSaR
SHA256: ff7b03ca1e1c00076c782d2fcdb2273fe7329f07d5618f63eaefeff2d75ba87c
7z 압축된 파일을 압축 해제, 압축되어있던 랜섬웨어 다운로더(.JS)를 실행시키면 지정된 C2에서 악성코드를 다운로드 합니다. * 신뢰하지 못하는 메일의 첨부파일은 다운로드 및 실행을 하지 마세요.
[그림 2] C2 서버에서 랜섬웨어 다운로드
얼마 지나지 않아 한 번의 첨부파일 실행으로 치루는 댓가는 너무나도 크다는 것을 확인할 수 있습니다.
[Payload] Lukitus Ransomware 행위: Ransomware
파일 이름: -
확장자: -
파일 크기: 677,744 bytes
SHA256: ce9469a6e37a26a7f6673ef1e63ba6b66162cfe8aaf68c2a6df075ebe0fe7886
[그림 3] 바탕화면 랜섬노트
[그림 4] html 랜섬노트
스크립트 실행을 제외한 모든 행위는 자동적으로 실행이 되며 우리도 모르는 사이 해당 악성행위를 진행하게 됩니다.
[방지 방안] 1) 신뢰하지 못하는 메일의 첨부파일을 다운로드 하지 않는다 2) 중요 자료는 백업을 하여 자료를 보호한다.
[그림 5] Wins APTX(JS Downloader)
참고 [Title 그림] https://sensorstechforum.com/new-spam-campaign-infection-using-e-zpass-toll-bills-announced-by-ic3/
|
