문서 아이콘으로 위장한 윈도 바로가기 파일(.lnk) 형태 랜섬웨어가 등장했다.
하우리(대표 김희천)은 윈도 바로가기 형태로 유포되는 신종 랜섬웨어가 발견돼 PC 이용자 주의가 요구된다고 20일 밝혔다.
문서 아이콘으로 위장해 스팸 메일에 첨부돼 유포된다. 파일 클릭 시 사용자 PC에 자바스크립트(JS) 파일을 생성한다. 자바스크립트는 네트워크로 워드파일(DOCX)과 랜섬웨어(EXE)를 다운로드해 실행한다. 사용자에게는 정상 문서파일을 보여줘 감염 사실을 숨긴다.
랜섬웨어로 암호화된 파일은 확장자 뒤에 변형 확장자명(.vault)가 추가돼 파일을 사용할 수 없게 된다.
이경민 하우리 보안대응팀 주임연구원은 “기존 유포된 랜섬웨어는 주로 악성 스크립트 파일이나 악성 매크로가 삽입된 문서파일을 사용했다”며 “이번 윈도 바로가기 파일과 같이 계속해서 다양한 유포 공격 방법을 사용해 지속적 관찰이 필요하다”고 말했다.
박정은기자 jepark@etnews.com
