랜섬웨어뉴스

데이터를 인질 삼아 금전을 요구하는 신종 '랜섬웨어'가 이메일과 웹사이트 등으로 대량 유포되고 있어 이용자들의 주의가 요구된다.

28일 한국인터넷진흥원(KISA)과 보안업계에 따르면 최근 기승을 부린 '갠드크랩' 랜섬웨어와 유사한 방식으로 '소디노키비'(Sodinokibi) 랜섬웨어가 유포되고 있는 정황이 확인됐다.

소디노키비 랜섬웨어는 한글로 작성된 메일 내부에 정상파일로 위장한 악성파일을 첨부하고 이를 열어보도록 유도하는 방식으로 유포되고 있다. 악성메일 유형은 입사지원서, 견적의뢰서, 헌법재판소나 경찰의 출석 요구 등으로 다양하다. 이밖에 워드프레스로 작성된 홈페이지를 탈취해 검색포털에 노출시킨 뒤 링크를 클릭해 다운로드 파일을 실행하도록 유도한 사례도 발견됐다.

이 랜섬웨어는 사용자 PC 파일을 암호화 한 후 복호화를 위한 가상화폐를 요구한다. 암호화 된 파일은 확장자가 변경되며, 암호화 된 파일이 들어있는 폴더에는 복호화 방법이 적힌 '랜섬노트'가 생성된다. 또 'Hello dear friend!', "Welcome. Again" 등의 문구가 적힌 파란색 화면으로 배경화면이 변경된다.

특히 이 랜섬웨어는 백업된 데이터로 PC를 복구를 할 수 없도록 '볼륨 쉐도우' 복사본을 삭제하는 게 특징이다. 또 로컬 시스템만 감염시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도한다. 이 때문에 연결된 시스템이 백업을 위한 폴더나 서버일 경우 더 큰 피해로 이어질 수 있다.

[ NEWS1 ] 남도영 기자​원문보기