[우리문화신문=이한영 기자]  랜섬웨어의 진화가 계속되고 있다. 파일을 암호화하고 돈을 요구하던 것에서 벗어나 감염 컴퓨터의 정보를 유출하는 랜섬웨어가 나타나기 시작한 것. 이번엔 감염 컴퓨터 정보뿐만 아니라 사용자의 개인정보와 가상화폐(암호화폐, Cryptocurrency) 개인 키까지 탈취하는 스톱(STOP) 랜섬웨어가 발견됐다.

 

 

최근 발견된 스톱 랜섬웨어는 감염 후 컴퓨터의 파일을 암호화하고 복호화 대가로 가상화폐를 요구하는 동시에 개인정보를 유출하는 악성코드인 아조럴트(AZORult) 등 다수의 악성 파일을 추가로 내려받게 한다.

 

추가로 내려받은 파일 가운데 ‘updatewin.exe’라는 이름의 파일은 [그림 1]과 같이 윈도우 업데이트 알림창과 매우 비슷한 알림창을 화면에 보여준다. 아래와 같은 화면이 나타나면 사용자는 윈도우 업데이트가 진행되고 있다고 생각하게 된다. 여기에 ‘컴퓨터 전원을 끄지 말라’는 안내 메시지로 사용자가 컴퓨터를 종료하지 못 하게 한 상태에서 몰래 파일을 암호화하고 정보를 유출하는 등 악의적인 행위를 수행한다.

 

 

한편, 앞서 함께 추가로 내려받은 아조럴트 악성코드는 감염 시스템의 운영체제(OS) 정보부터 컴퓨터에 저장된 비밀번호, 스카이프(Skype, 인터넷전화) 대화 내용, 가상화폐 개인 키 정보 등 개인정보를 빼앗아 공격자에게 보낸다. 이를 위해 빼앗으려는 개인정보 파일들은 암호화 대상에서 뺀다.

 

[그림 1]과 같은 화면으로 사용자의 시선을 잡아두고 몰래 개인정보를 빼내는 동안 스톱 랜섬웨어는 감염된 시스템의 파일을 암호화하고 기존 확장자 뒤에 .PROMORAD를 덧붙인다. 또 아래 그림과 같은 랜섬 노트를 통해 사용자에게 감염 사실을 알리고 파일 복호화에 대한 대가를 요구한다.

 

 

스톱 랜섬웨어는 감염 스카이프의 시작프로그램 경로에 자기 자신을 등록하기 때문에 시스템을 시작할 때 마다 자동 실행된다. 무엇보다 유출된 개인정보를 이용해 계정 탈취나 금전 탈취 등 2차 피해가 발생할 수 있다. 따라서 스톱 랜섬웨어에 감염되었을 경우 추가 피해를 최소화하기 위해서는 웹 브라우저 및 누리편지(이메일), FTP(인터넷을 통해 한 컴퓨터에서 다른 컴퓨터로 파일을 전송할 수 있도록 하는 프로그램) 클라이언트 등 시스템에 저장된 비밀번호를 모두 변경하는 것이 바람직하다.

 

이번 사례와 같이 최근 랜섬웨어가 본래의 목적 말고 또 다른 악의적인 기능을 더함에 따라 감염되지 않도록 선제적인 예방을 하는 것이 더욱 중요하다. 사용 중인 운영체제(OS)나 소프트웨어의 최신 보안 업데이트를 반드시 하고 특히나 출처가 불분명한 누리편지의 첨부파일은 실행하지 않도록 해야 한다. 또 백신 프로그램의 엔진 상태를 최신 버전으로 유지하고 ‘실시간 검사’ 기능을 켜두는(활성화) 것이 좋다.

 

한편, V3 제품군에서는 스톱 랜섬웨어와 관련된 악성 파일을 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군 진단명>

Malware/Win32.Ransom

Malware/Win32.Generic

Trojan/Win32.Generic

Win-Trojan/Gandcrab10.Exp

Win-Trojan/Gandcrab10.Exp

 

                                                                              AhnLab ASEC대응팀 제공