[우리문화신문=이한영 기자] 안랩은 최근 ASEC 블로그를 통해 코로나바이러스를 악용한 랜섬웨어가 퍼지고 있으니 각별한 주의가 필요하다고 발표했다.
ASEC에 따르면 이 랜섬웨어는 “coronaVi2022@protonmail.ch”이라는 이름의 발송자가 보내는 누리편지를 통해 퍼지고 있다. 이 랜섬웨어 감염되면 ‘코로나바이러스(CoronaVirus.txt)’ 이름의 랜섬웨어 노트를 만들며, 이 랜섬노트에는 “여기에서 우리는 희망을 포기(desine sperare qui hic intras)”라는 의미의 라틴어를 포함하고 있다. 랜섬웨어 제작자는 암호화된 파일 복구 대가로 비트코인 지불(0.008 btc, 50$)을 요구한다.
이 랜섬웨어에 감염되면 하드디스크에 존재하는 파일명에 해당 랜섬웨어 발송자의 누리편지 계정 이름이 덧붙어 파일이름이 변경된 것을 확인할 수 있다([그림 2] 참고).
이 랜섬웨어는 파일감염 뿐만 아니라 디스크 감염도 이루어진다. 사용자가 감염된 뒤 재부팅이 되면 정상적인 부팅이 아닌 랜섬노트가 발생한다. 특히, 윈도우 복구 기능을 통한 백업까지 무력화하는 것으로 나타났다. 곧 일반적인 랜섬웨어에서는 윈도우 복원 기능을 통한 백업을 수행하지 못하도록 볼륨 섀도우 복사본을 지우는 기능이 존재하지만, 이 랜섬웨어는 추가로 시스템 백업까지 지우는 것이 특징이다. 따라서 이 랜섬웨어에 감염될 때는 컴퓨터가 손상될 가능성이 크므로 특별히 주의해야 한다.
현재 안랩 V3 제품에서 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다.
<V3 제품군 진단명>
Trojan/Win32.RansomCrypt (2020.03.24.05)
Malware/MDP.Ransom.M2812
Malware/MDP.Manipulate.M2818
랜섬웨어에 감염되지 않으려면 의심스러운, 또는 일반적이지 않은 누리편지를 받을 때 더욱 특별히 주의해야 하며, 업무와 관련된 것으로 보이는 누리편지도 첨부 파일을 확인하거나 실행하기 전에 더욱 꼼꼼히 살펴보는 습관이 필요하다. 또한, 백신의 엔진버전을 최신 상태로 유지하고 실시간 검사 기능을 활성화(On)하는 것이 좋다.
해당 악성코드에 대한 상세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.
AhnLab ASEC 분석팀 제공
