끔찍한 랜섬웨어가 'Diablo'와 'Lukitus'라는 두 가지 새로운 변종으로 돌아왔습니다.
보안 연구원들은 최근 두 개의 새로운 Locky 랜섬웨어 변종인 Diablo와 Lukitus를 발견했습니다. 다른 유형의 암호화 잠금 랜섬웨어와 마찬가지로 PC에서 파일을 암호화하고 복호화 키를 대가로 몸값을 요구하도록 설계되었습니다. 이 새로운 변종은 8월 16일 일 에 연구원들에 의해 보고되었습니다. 2017.
"랜섬웨어는 적의 기술적 정교함보다 인간 심리의 취약성을 조작하는 데 더 가깝습니다."
? 제임스 스콧
Locky는 전 세계적으로 성공한 랜섬웨어의 주요 형태 중 하나입니다. 2016년에 처음 등장했고 연말에 사라졌습니다. 그러나 더 이상 위협이 되지 않는다고 생각한다면 오산입니다. 어두워진 후 Locky는 공격에 사용되는 가장 큰 봇넷 중 하나인 Necurs 봇넷으로 돌아왔습니다.
8월 9일부터 일 이후 Locky는 새로운 파일 확장자 “.diablo6”를 사용하여 복구 메모인 “diablo-.htm”으로 파일을 암호화하여 다시 등장했습니다. Diablo는 다른 C&C 서버로 콜백합니다. 이와 함께 암호화된 파일에 '.Lukitus' 확장자를 추가하는 또 다른 새로운 변종이 있습니다.
흥미롭게도 Lukitus는 핀란드어로 잠금을 의미합니다.
새 캠페인은 .DOCM 파일이 포함된 PDF 첨부 파일 형식으로 스팸 이메일을 보냅니다. 사용자가 첨부 파일을 다운로드하고 요청에 따라 매크로를 활성화하면 컴퓨터에 있는 파일에 액세스할 수 없게 됩니다.
모든 데이터가 암호화되면 소유자가 데이터를 해독하기 위해 개인 키를 받으려면 몸값을 요구합니다. Locky는 널리 보급되지는 않았지만 강력한 암호화로 인해 여전히 심각한 위협입니다.
이 캠페인은 Locky가 특정 시간 동안 활성화되지 않았기 때문에 단순히 사라졌다고 생각했던 우리 모두에게 눈을 뜨게 합니다. Locky가 다시 나타난 것은 이번이 처음이 아니며 한동안 수수께끼에 싸여 있다가 새로운 감염과 함께 나타납니다.
Locky의 갑작스러운 재등장은 6월에 제공되었던 Jaff 랜섬웨어의 복호화 도구와 관련이 있을 수 있습니다. Jaff는 5월에 등장했으며 Locky를 배포하는 데 사용된 것과 동일한 Necrus 봇넷에 의해 확산되었습니다.
이것은 랜섬웨어가 곧 우리를 떠나지 않을 것이라는 것을 증명하므로 우리는 랜섬웨어에 맞서기 위한 새로운 전략과 기술을 계속 개발해야 합니다.
Locky 변종, 다른 명령 및 제어 서버(C2)로 콜백하고 제휴 ID 사용:AffilID3 및 AffilID5