- 작성일
- 2017.10.10
- 수정일
- 2017.10.10
- 작성자
-
관리자
- 조회수
- 926
개요
- 악성코드 분석가 coldshell, 암호화된 파일의 확장자를 .ykcol로 변경하는 록키 랜섬웨어 변종 발견(9.18.)
주요내용
- 현재 “Status of invoce”의 메일 제목으로 전파 되고 있으며, 첨부된 악성코드는 7zip 혹은 7z의 압축 파일 형태로 전파
- 이메일 시스템의 첨부파일 필터를 우회하기 위하여 7zip, 7z의 압축파일 형태로 전파하는 것으로 추정
<그림1. 스팸 이메일>
- 파일이 실행되면 컴퓨터 내의 파일들을 스캔하고 파일 암호화 후 확장자를 .ykcol으로 변경
<그림2. 암호화된 파일>
- 파일 암호화가 끝나면 다운로드 된 실행 파일을 제거하고 랜섬노트를 게시
- 랜섬노트에는 파일 복호화 방법에 대한 정보가 기재
<그림3. 복호화 방법을 안내한 랜섬 노트>
- 랜섬웨어에 감염된 파일의 복호화를 위한 지불 금액으로 .25BTC 또는 약$1025USD를 요구
<그림4. 복호화를 위한 지불 사이트>
시사점
- 출처가 불분명한 메일의 첨부파일 실행금지
윈도우, 자바, 플래쉬 등 프로그램 최신 보안 패치 적용
보안 프로그램의 최신 버전 유지 및 실시간 감시 기능 실행
[출처]
1. https://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-the-ykcol-extension-for-encrypted-files/
작성 : 침해대응단 종합대응팀