![[오늘(20일) 날씨] 주말은 전국 비 소식…황사·미세먼지 점차 해소](https://cdnimage.ebn.co.kr/news/news-p.v1.20240419.90f5da0b9e2c4e07aadf73ea5d89afc0_T1.jpg)
![[EBN 오늘(19일) 이슈 종합] “불황 돌파구 찾아라”…K-건설, 스타트업과 신기술 확보 ‘잰걸음’ 등](/common/img/logo_no_icon.png){kind=icon}
- 텍스트 축소
- 확대
메모장 바로가기 파일 위장한 랜섬웨어 주의보
- 송고 2017.03.30 15:54 | 수정 2017.03.30 15:53
- 김언한 기자 (unhankim@ebn.co.kr)
파워쉘 이용한 ‘록키’ 랜섬웨어 변종
파일 확장자 ‘.OSIRIS’로 변경
록키 랜섬웨어 감염 화면.ⓒ하우리
‘록키(Locky)’ 랜섬웨어 변종이 발견돼 PC 사용자들의 주의가 요구된다.
하우리는 최근 파워쉘을 이용해 감염시키는 진화된 록키 랜섬웨어를 발견했다고 30일 밝혔다.
‘파워쉘(PowerShell)’은 시스템 관리용으로 특별히 설계된 작업 기반 명령줄 쉘 및 스크립트 언어다. 주로 윈도우 운영체제(OS) 및 응용프로그램의 관리를 쉽게 제어하고 자동화하는 데 사용되지만 랜섬웨어를 유포하는 데 악용됐다.
확인된 랜섬웨어는 이메일을 통해 메모장으로 위장한 ‘윈도우 바로가기(.LNK)’ 파일 형태로 유포된다.
록키 랜섬웨어에 감염되어 암호화된 파일들 .ⓒ하우리
사용자가 해당 바로가기 파일을 실행할 경우, 파워쉘 프로그램이 동작해 사용자 PC에 록키 랜섬웨어를 다운로드해 실행한다.
이후 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화해 몸값을 요구하며 암호화된 파일은 확장자가 ‘.OSIRIS’로 변경돼 더 이상 파일을 사용할 수 없게 된다.
이경민 보안대응팀 주임연구원은 “랜섬웨어를 유포하는 공격자들은 계속해서 다양한 방법을 사용해 진화하고 있어 지속적인 관찰이 필요하다”며 “파워쉘이 꼭 필요한 경우가 아니라면 파워쉘 실행을 차단해 악성코드 감염 피해를 최소화 할 수 있다”고 말했다.
하우리 바이로봇에서는 이 악성코드를 ‘LNK.Agent’, ‘Trojan.Win32.Locky’ 진단명으로 탐지 및 치료하고 있다.
©(주) EBN 무단전재 및 재배포 금지
관련기사
전체 댓글 0
베스트 클릭
이슈종합
오피니언
시황
코스피
코스닥
환율
KOSPI 2,591.86 ▼ 42.84(-1.63)
코인시세
인사/부고/동정
서울미디어홀딩스
패밀리미디어 실시간 뉴스
