록키 랜섬웨어, 이메일에 첨부된 워드 문서의 매크로 형식으로 광범위하게 유포
출처 확인되지 않은 이메일의 첨부파일에 포함된 자바스크립트 파일 실행하지 말 것

[보안뉴스 김경애] ‘록키(Locky)’ 랜섬웨어가 국내에 광범위하게 유포되고 있어 이용자들의 각별한 주의가 요구된다.


이에 대해 보안전문기업 하우리(대표 김희천)에 따르면 지난 14일 이후로 국내에 ‘록키(Locky)’ 랜섬웨어가 광범위하게 유포돼 금융기관이나 관공서, 기반시설 위주로 피해가 지속적으로 증가하고 있다고 밝혔다.

이번에 발견된 록키 랜섬웨어는 기존의 이메일에 첨부된 워드 문서의 매크로 형식으로 유포되는 방식에서, 이메일의 첨부파일에 악성 자바스크립트 파일을 ZIP파일로 압축해 첨부하는 방식으로 변경돼 유포되고 있다.

악성 자바스크립트 파일 내부에는 록키 랜섬웨어의 유포지 URL 주소가 포함되어 있으며, 사용자가 자바스크립트를 클릭하게 되면 랜섬웨어를 다운로드하고 실행한다. 감염될 경우에는 각종 문서파일들을 암호화하고 ‘.locky’ 확장자로 변경해 사용할 수 없게 만든다. 그런다음 암호화 해제를 빌미로 금전을 요구한다.

하우리 보안연구팀 유태순 주임연구원은 “3월 중순부터 록키 랜섬웨어의 유포방식이 변경된 것을 확인하였으며 피해 사례가 계속 증가하고 있다.”라며, “출처가 확인되지 않은 이메일의 첨부파일에 포함된 자바스크립트 파일을 실행하지 않는 것이 록키 랜섬웨어의 감염피해를 최소화 할 수 있다”고 밝혔다.

현재 하우리 바이로봇에서는 록키 랜섬웨어에 대해 Trojan.Win32.Locky-Ransom의 진단명으로 탐지 및 치료가 가능하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>