2024-03-28 18:00 (목)
변종 랜섬웨어 ‘크립토실드’ 감염 주의
상태바
변종 랜섬웨어 ‘크립토실드’ 감염 주의
  • 길민권 기자
  • 승인 2017.02.02 13:35
이 기사를 공유합니다

웹사이트에 포함된 광고 서버들이 주로 해킹당해 유포

▲ 크립토실드 랜섬웨어 감염 안내 화면. 하우리 제공.
▲ 크립토실드 랜섬웨어 감염 안내 화면. 하우리 제공.
하우리(대표 김희천)는 최근 크립토믹스 랜섬웨어의 변종인 ‘크립토실드’ 랜섬웨어가 발견돼 국내 사용자들의 각별한 주의가 필요하다고 밝혔다.

이번에 발견된 ‘크립토실드(CryptoShield)’ 랜섬웨어는 ‘리그 익스플로잇킷(RIG Exploit Kit)’을 이용해 유포된다. 웹사이트에 포함된 광고 서버들이 주로 해킹을 당해 유포에 악용되며 이로 인해 웹서핑 도중 사용자 모르게 감염된다.

해당 랜섬웨어에 감염될 경우 사용자 PC에 존재하는 454개의 확장자를 포함하는 파일들에 대해 암호화를 수행한다. ‘ROT-13’ 암호화 방식으로 파일 이름을 알아볼 수 없게 바꾼 뒤 ‘.CRYPTOSHIELD’ 확장자를 추가한다. 파일들에 대한 암호화가 완료될 경우 메모리 오류라는 거짓 경고창을 띄우며 사용자가 확인을 누를 경우 랜섬웨어 감염 노트를 보여준다.

암호화 과정에서 ‘볼륨 쉐도우 복사본(Volume Shadow Copy)’을 지워 복구지점을 없애기 때문에 윈도우 복원은 불가능하다. 또한 복호화를 위한 비용 지불은 오직 해커의 이메일을 통해서만 연락하는 것이 가능하다.

보안연구팀 김동준 연구원은 “이번 크립토실드 랜섬웨어는 기존 랜섬웨어의 변종으로 드라이브 바이 다운로드 방식으로 유포 중이다”라며 “어도비 플래시, 자바, 윈도우 등 보안 업데이트를 항상 최신으로 수행하고 백신이나 취약점 차단 솔루션을 사용해 감염을 미연에 방지할 수 있다”라고 말했다.

현재 하우리 바이로봇에서는 ‘크립토실드’ 랜섬웨어를 "Trojan.Win32.Ransom"의 진단명으로 탐지 및 치료할 수 있으며 ‘바이로봇 에이피티 쉴드’를 통해서도 사전차단이 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★