하우리(대표 김희천)는 최근 크립토믹스 랜섬웨어 변종인 `크립토실드`가 발견돼 국내 사용자 주의가 필요하다고 2일 밝혔다.
크립토실드 랜섬웨어는 리그 익스플로잇킷으로 웹사이트를 포함한 광고서버를 주로 해킹, 유포에 악용한다. 감염된 웹사이트를 방문하면 사용자 모르게 랜섬웨어가 유입된다.
크립토실드에 감염되면 사용자 PC에 존재하는 파일이 암호화된다. ROT-13 암호화 방식으로 파일 이름을 알아보지 못하게 바꾸고 확장자명 `CRYPTOSHIELD`를 추가한다. 파일 암호화가 완료되면 메모리 오류라는 거짓 경고 창을 띄우고 사용자가 확인을 누를 시 랜섬웨어 감염 노트를 보여준다.
암호화 과정에서 `볼륨 쉐도우 복사본`을 지워 복구 지점을 없앤다. 윈도 복원은 불가능하다. 복호화를 위한 비용 지불은 오직 해커 이메일로만 연락 가능하다.
김동준 하우리 보안연구팀 연구원은 “기존 랜섬웨어 변종으로 드라이브 바이 다운로드 방식으로 유포 중”이라며 “어도비 플래시, 자바, 윈도 등 보안 업데이트를 항상 최신으로 수행하고 백신이나 취약점 차단 솔루션을 사용해 감염을 미연에 방지할 수 있다”고 말했다.
박정은기자 jepark@etnews.com
