랜섬웨어뉴스

최근 웹호스팅 업체 라온넷닷컴의 랜섬웨어 감염 사태로 고객들까지 큰 피해를 입은 것으로 추정되는 가운데 변종 랜섬웨어가 연이어 발견되면서 각별한 주의가 요구되고 있다.​

안랩 ASEC 분석팀에 따르면 지난 7일 ‘BlueCrab(=소디노키비)’ 랜섬웨어와 동일한 외형의 ‘ANTEFRIGUS’라는 이름의 랜섬웨어를 공개한 데 이어, 8일에는 외형정보는 BlueCrab 랜섬웨어와 동일하지만 랜섬노트와 감염방식이 ‘STOP’ 랜섬웨어와 유사한 형태가 국내에 발견됐다.

이번에 발견된 변종 랜섬웨어는 감염시 확장자가 .mosk로 변경되는 특징이 있는 것으로 분석됐다. 이렇듯 최근 다양한 형태의 랜섬웨어가 BlueCrab과 동일한 외형으로 유포됨에 따라 안랩 ASEC 분석팀은 동일한 유포자에 의해 다양한 랜섬웨어가 선택되어 유포에 활용되는 것으로 추정했다.

특히, 해당 랜섬웨어는 파일 암호화뿐만 아니라 정보 탈취형 악성코드를 다운받아 실행하는 것으로 드러났다. 암호화는 C:＼드라이브를 포함해 모든 드라이브를 대상으로 진행되며, 이 중 Windows, Program Files와 같은 윈도우 상의 일부 중요 디렉토리는 암호화 대상에서 제외된다. 암호화가 완료되면 랜섬노트를 생성해 사용자에게 감염 사실을 알리게 되는데, 감염된 파일은 기존 확장자 뒤에 .mosk가 추가되는 형태다.

한편, 안랩 ASEC 분석팀은 7일에도 BlueCrab과 동일한 외형정보로 국내에 유포되는 신규 랜섬웨어 ‘ANTEFRIGUS’를 발견했다. 해당 랜섬웨어는 wscript.exe. 프로세스에 의해 생성돼 익스폴로잇 킷을 통해 유포되는 것으로 추정된다.

해당 랜섬웨어는 C:＼드라이브는 암호화하지 않고, D, E, F, I, U, G 드라이브를 대상으로 암호화를 진행하는 것으로 분석됐다. 특히, 랜섬노트를 띄워 사용자에게 감염 사실을 알리는 것뿐만 아니라 해당 랜섬노트 종료시 메시지 박스를 한번 더 실행한다. 또한, 랜섬웨어 감염시 확장자를 .qrja로 변경하게 된다.

[ 보안뉴스 ] 권준 기자​원문보기