4개월 만에 최악의 랜섬웨어로 등극한 록키의 변종

[보안뉴스 문가용] 시스코의 탈로스(Cisco Talos) 보안 전문가 팀이 록키(Locky) 랜섬웨어의 변종인 젭토(Zepto)가 스팸 캠페인을 타고 계속해서 번지고 있는 사태를 발견, 보도했다. 지난 2월 처음 발견된 록키는 단 2주만에 올 상반기 최고의 랜섬웨어에 등극한 바 있다. 현재까지 알려진 바 젭토 역시 록키와 만만치 않은 위험성을 내포하고 있다.


탈로스가 이 수상쩍은 스팸 캠페인을 처음 발견한 건 6월 27일로, 시스코의 자체 방어 솔루션에 약 4천 통의 스팸 이메일이 걸려들었다. 그 후 4일 동안 4천 통은 13만 통까지 빠르게 불어났다. 이메일에는 zip 압축파일이 첨부되어 있었고, 이 압축파일 안에는 악성 자바스크립트가 포함되어 있었다. 고유한 멀웨어 샘플이 3305개나 되었고, 이메일 내용과 제목 역시 매우 다양했다.

사용자가 해당 파일을 클릭해 실행하면 악성 자바스크립트가 실행이 된다. wscript.exe 파일이 실행되어 HTTP GET 요청이 여러 C&C 도메인에 전달된다. 샘플에 따라 한 개의 C&C와만 통신하는 것도 있었고 많게는 9개 도메인과 동시에 연결되기도 했다.

자바스크립트는 실행과 동시에 로컬 파일들을 암호화하기 시작한다. 암호화된 파일들에는 .zepto라는 확장자가 붙으며 이 과정이 다 끝나면 사용자가 볼 수 있는 협박 문구를 화면에 출력한다. 협박 문구는 HTML 파일과 이미지 파일로 보내진다. 컴퓨터의 배경화면에도 협박 문구가 실린 이미지가 깔린다.

젭토가 새롭게 주목을 받는 건 암호화 기술이나 공격 기법이 새로워서가 아니라 악명 높은 록키의 변형이기 때문이다. 록키와 젭토 둘 다 자바스크립트 파일을 통해 공격하고 흡사한 협박 문구를 사용한다. 한편 지난 4개월 동안 록키 랜섬웨어를 통해 입은 총 피해액은 대략 1천 265만 달러에 이를 것이라고 전문가들은 추정하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>