변종 록키 랜섬웨어가 활동을 재개했다. 최신 익스플로잇킷(취약점 공격도구)로 국내 감염이 확산되고 있어 각별한 주의가 요구된다.
하우리(대표 김희천)는 최근 록키 랜섬웨어 변종 형태 악성코드가 국내 유포된다고 29일 밝혔다. 암호화 확장자가 기존 1차 변종인 `.zepto`에서 `.odin` 형태로 바뀐 2차 변종이다.
최근 국내 유입되기 시작한 선다운 익스플로잇킷으로 유포됐다. 웹사이트 방문 시 감염이 이뤄진다. 이메일 첨부 파일 형태로도 함께 유포가 진행 중이다. 감염되면 PC 내 주요 파일이 암호화되고 확장자가 `.odin`으로 바뀐다. 고유한 문자와 숫자 조합으로 모든 파일 이름을 변경해 원래 파일을 식별하기 어렵다.
국내 사용자를 노린 징후가 곳곳에서 발견된다. 감염 후 안내에 따라 암호 해독 페이지에 접근하면 국내 감염자의 경우 바로 한글화 페이지로 안내한다. 암호화 하는 확장자 목록에 한글문서파일(.hwp)도 포함됐다.
김태형 하우리 보안대응팀 연구원은 “랜섬웨어가 지속 발전해 국내 피해 사례가 계속 발생할 것으로 보인다”며 “다양한 랜섬웨어 예방 솔루션을 활용해 사전에 예방해야 한다”고 말했다.
박정은기자 jepark@etnews.com
