기사 한줄요약(22.3.21.):
블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀의 보고서에 따르면, 작년 8월부터 로키로커(LokiLocker)라고 불리는 신종 랜섬웨어가 유행하기 시작했다고 한다. 이 악성 코드는 난독화 기술과 기간 안에 몸값을 지불하지 않으면 파일을 삭제하는 기능을 가지고 있어 주의가 필요하다.
[로키로커 기술]
- 난독화 방법 : 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용.
* 일반적으로는 이 기술은 일반 소프트웨어 소스코드를 보호하기 위해 리버스엔지니어링을 어렵게 하는 데 사용.
- 지속성 유지 방법 : 컴퓨터에서 실행 시, ‘%ProgramData%/winlogon.exe’로 자신을 복사 → 예약된 작업/시작 레지스트리 항목을 사용
- 로키로커 랜섬웨어 기능 :
• 가짜 윈도우 업데이트 화면 표시
• 특정 프로세스 및 시스템 서비스 종료
• 윈도우 작업 관리자 비활성화
• 시스템 백업 및 섀도우 볼륨 복사본 삭제
• 윈도우 오류 복구 및 윈도우 방화벽 비활성화
• 시스템 복원 지점 제거
• 휴지통 비우기
• 윈도우 디펜더 비활성화
• 사용자 로그인 화면에 표시되는 메시지 변경
- 로키로커 랜섬웨어가 암호화하는 것 :
1) 즐겨찾기, 최근 사용한 파일, 데스크톱, 사진, 동영상, 음악 등 디렉터리에 있는 파일을 암호화
2) 모든 로컬 드라이브의 파일을 암호화
3) 네트워크 공유를 감지하고 암호화
- 이후 수집한 정보를 가지고 C2서버와 연결
- 암호화 방법 : 공개 RSA를 이용해서 공개/개인 키 생성 및 피해자의 공개 RSA 키는 임의로 생성된 AES 파일 암호화 키를 암호화하는 데 사용된다.
- 무료 암호해독 프로그램 : 현시점에 없음
- 암호화 이후 :
1) OS로 부팅 불가
- 모든 로컬 드라이브에서 파일을 삭제
- 하드 드라이브의 마스터 부트 레코드(MBR)를 덮어쓰는 와이퍼 모듈이 포함되 시스템을 OS로 부팅할 수 없음.
2) 몸값을 시간 내 지불하지 않으면 파일 삭제 및 시스템을 이용하지 못하도록 함.
[로키로커의 근원]
영어로 작성 (오타/문법 실수 없음) ☞ 러시아/중국 發 악성코드 아닐 확률↑
이란과 연결고리 있음. 하지만 연구진을 속이는 목적일 수 있음.
Lucian Constantin, “몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다, CIO Korea, https://www.ciokorea.com/news/229229
“몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다
‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을
www.ciokorea.com
