- 웹사이트 공격 후 정상 설치 파일 악성 파일로 교체하기도
 |
| 크라켄 크립터 랜섬웨어로 암호화된 파일 확장명 [출처=안랩] |
[헤럴드경제=박세정 기자] 중요 파일을 암호화하는데서 더 나아가 원본 파일의 흔적까지 파괴해 금품을 요구하는 변종 랜섬웨어가 등장해 소비자의 주의가 요구된다.
30일 안랩은 보안 이슈 보고서를 통해 최근 악성 온라인 광고 등에서 ‘크라켄 크립터’ 랜섬웨어가 유포되고 있는 것이 확인됐다고 설명했다.
이 랜섬웨어는 북유럽 지역의 전설 속 괴물이자, 영화 ‘캐리비안 해적’에 등장하는 거대한 문어 ‘크라켄’의 이름을 땄다.
‘크라켄 크립터’가 본격적으로 활동을 시작한 것은 지난 8월부터로 추정된다.
기존 랜섬웨어가 중요 파일이나 문서를 암호화 해 이를 풀어주는 조건으로 금품을 요구한다면, 이번 변종 랜섬웨어는 더 나아가 파일 원본의 흔적까지 파괴하는 것이 특징이다.
감염 PC의 파일을 암호화하고 파일 삭제 프로그램을 다운로드해 감염 시스템의 드라이브에 남아있는 원본 파일의 흔적을 삭제하는 식이다.
이 경우 사용자는 복구 프로그램으로 원본 파일을 복구하는 것까지 원천 차단돼 피해가 더욱 커질 수 있다는 우려다.
안랩은 이번에 확인된 ‘크라켄 크립터’ 랜섬웨어가 파일공유 사이트나 성인물 사이트의 악성 광고 배너를 통해 유포됐다고 설명했다.
사용자가 해당 악성 광고가 포함된 웹사이트에 접속하면 사용자 PC 환경을 확인한 후 미리 설정해둔 조건에 해당될 경우 사용자를 특정 페이지로 이동시켜 랜섬웨어에 감염시킨다.
또 특정 웹사이트를 공격해 정상 설치 파일을 악성파일로 교체해 ’크라켄 크립터‘ 랜섬웨어를 유포하기도 했다.
‘크라켄 크립터’는 파일 암호화 시 파일 확장명을 다섯자리 ‘XZXQV’로 변경한다. 암호화를 마치면 ‘# How to Decrypt Files-[암호화 확장명].html’라는 랜섬노트를 생성한다.
안랩 측은 “크라켄 크립터 랜섬웨어에 감염되면 원본 파일의 흔적마다 사라지기 때문에 더욱 주의해야 한다”며 “안정성이 확인되지 않은 웹사이트 이용을 자제하고 중요한 파일은 별도의 장치에 백업해야 한다”고 당부했다.
이어 “크라켄 크립터가 감염 전에 사용자 PC의 환경을 확인한다는 점에서 사용 중인 운영체제와 주요 프로그램에 최신 보안 패치를 적용하는 것도 중요하다“고 덧붙였다.
한편, 한국랜섬웨어침해대응센터에 따르면 2015~2017년 랜섬웨어로 인한 국내 피해액은 약 1조1000억원으로, 이 기간 누적 피해건수는 1만건408건에 달한다.
sjpark@heraldcorp.com
