파워쉘(PowerShell)은 시스템 관리용으로 설계된 작업 기반 명령줄 쉘 및 스크립트 언어이다. 파워쉘은 주로 윈도 운영체제 및 응용 프로그램의 관리를 쉽게 제어하고 자동화하는 데 사용된다. 최근 이러한 기능이 랜섬웨어를 유포하는 데 악용되고 있다.
이번에 확인된 ‘록키’ 랜섬웨어는 이메일을 통해 메모장으로 위장한 ‘윈도우 바로가기(.LNK)’ 파일 형태로 유포됐다. 사용자가 해당 바로가기 파일을 실행할 경우, 파워쉘 프로그램이 동작해 사용자 PC에 ‘록키’ 랜섬웨어를 다운로드해 실행한다.
실행된 ‘록키’ 랜섬웨어는 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화해 몸값을 요구하며, 암호화된 파일은 확장자가 ‘.OSIRIS’로 변경돼 더 이상 파일을 사용할 수 없게 된다.
하우리 바이로봇에서는 해당 악성코드를 ‘LNK.Agent’, ‘Trojan.Win32.Locky’ 진단명으로 탐지 및 치료하고 있다.
|
|