하우리, 록키 랜섬웨어 변종 등장 `주의` 당부

하우리(대표 김희천)는 7일 '록키(Locky)' 랜섬웨어가 DLL 파일 형태로 배포되는 변종이 등장했다며 주의를 당부했다.

이 변종 악성코드는 스팸메일 속 스크립트를 통해 침투하는 방식으로 구동하며, 스크립트 파일 실행 시 'TEMP' 경로에 무작위로 DLL 파일과 텍스트 파일을 설치한다. 이후 'yahoo! Widgets'이나 'Driver Booster Backup' 등 정상적인 파일처럼 위장해 사용자나 보안 솔루션의 의심을 회피하려 한다. 감염된 파일은 zepto라는 확장자로 바꾸고, 처음 침투 시 쓰인 스크립트 파일도 암호화하기 때문에 감염 후 해당 파일을 추적하기도 어렵게 만든다.

주은지 하우리 보안대응팀 연구원은 "록키 랜섬웨어는 올해 2월 첫 발견 이후 꾸준히 국내에 유포되고 있다"며 "상대적으로 사용자의 의심을 피할 수 있는 DLL 파일로 유포되고 있기 때문에 앞으로도 국내에 피해 사례를 낳을 것으로 보인다"고 말했다. 특히 'monthly_report', 'office_equipment' 등 업무상 익숙한 용어를 사용해 각별한 주의가 필요하다고 덧붙였다. 하우리 바이로봇은 이를 현재 'Trojan.Win32.Locky.159232'라는 진단명으로 탐지, 치료하고 있다.이재운기자 jwlee@dt.co.kr