윈도우 바로가기 형태로 유포되는 신종 랜섬웨어가 발견되어 PC 이용자들의 각별한 주의가 요구된다.
 
하우리(대표 김희천) 측은 “이번에 확인된 랜섬웨어는 문서 아이콘으로 위장한 윈도우 바로가기(LNK) 파일로 스팸 메일에 첨부되어 유포되며, 클릭 시 사용자 PC에 악성 자바스크립트(JS) 파일을 생성한다”며 “이 악성 자바스크립트는 네트워크를 통해 워드파일(DOCX)과 랜섬웨어(EXE)를 다운로드하여 실행하고, 사용자에게 정상 문서파일을 보여줌으로써 감염 사실을 숨긴다”고 설명했다.

 
윈도우 바로가기 파일은 특정 경로의 프로그램을 빠르게 실행할 수 있도록 도와주는 파일이다. 하지만 최근에는 악성코드를 실행하는 용도로도 악용되기 시작했으며, 이번 랜섬웨어 유포에도 사용된 것으로 확인되었다.
 
이번에 발견된 바로가기 파일은 악성 자바스크립트 파일을 생성 및 실행하는 코드가 삽입되어 있어 사용자 모르게 랜섬웨어를 감염시킨다. 해당 랜섬웨어는 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등을 암호화하여 몸값을 요구한다. 암호화된 파일은 확장자 뒤에 “.vault”가 추가되며 더 이상 파일을 사용할 수 없게 된다.
 
이 회사 보안대응팀 이경민 주임연구원은 “기존에 유포되던 랜섬웨어는 악성 스크립트(.js, .vbs, .wsf 등) 파일이나 악성 매크로가 삽입된 문서파일을 사용했지만, 이번에는 윈도우 바로가기 파일을 이용했다”라며, “랜섬웨어를 유포하는 공격자들이 계속해서 다양한 방법을 사용하여 진화하고 있어 지속적인 관찰이 필요하다”고 밝혔다.
 
하우리 바이로봇에서는 해당 악성코드를 “LNK.Agent, JS.Downloader, Trojan.Win32.VaultCrypt” 진단명으로 탐지 및 치료하고 있으며, 기타 랜섬웨어 관련 정보 및 예방법은 하우리 랜섬웨어 정보센터를 통해 확인이 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com