체크멀(대표 김정훈)은 백신의 실시간 보호 기능을 비활성화해 백신 탐지를 차단하는 ‘스톱(Stop)’ 랜섬웨어 변종이 유포되고 있어 주의가 필요하다고 14일 밝혔다.
최초 스톱 랜섬웨어 파일은 동일한 파일명으로 자가 복제하여 실행된다. ‘Time Trigger Task’ 작업 스케줄러 값을 등록해 5분 단위로 파일을 자동 실행하도록 구성돼 있다. 암호화된 파일의 확장명은 .DATAWAIT으로 변경되며, 암호화 대상 폴더마다 결제 안내 파일이 생성된다.
이 랜섬웨어는 랜섬웨어 파일을 실행한 후 추가적인 악성 파일도 실행한다. 윈도우 파워셸 기능을 통해 윈도우 디펜더 백신 프로그램의 실시간 보호 기능을 비활성화 한다. 또한 DB 파일을 삭제하여 탐지하지 못하게 만든다.
호스트 파일을 변경해 마이크로소프트, 국내외 보안 업체, 유명 파일 다운로드 사이트 등에 대한 접속을 차단한다. 팀뷰어 원격 제어툴을 설치해 윈도우 부팅 시마다 자동 실행되도록 구성한다.
스톱 랜섬웨어는 ‘intersys32.com’ 서버로 감염된 PC의 시스템 정보를 지속적으로 전송해 해당 팀뷰어를 통해 차후 파일 복구 신청 시 직접 접속할 목적으로 설치한 것으로 의심된다. 사용자를 속이기 위해 우측 하단에 윈도우 업데이트 메시지 창을 통해 업데이트가 천천히 진행되는 것처럼 가짜 메시지 창을 생성한다.
이번에 확인된 스톱 랜섬웨어의 경우 파일 암호화뿐만 아니라 추가적인 파일을 실행해 악의적인 기능 수행, 가짜 윈도우 업데이트 메시지 창을 생성하고 보안상 위험을 줄 수 있는 팀뷰어를 설치한다. 호스트 파일보안 사이트 접속을 차단하기 때문에 감염되지 않도록 각별한 주의가 필요하다.
체크멀 관계자는 “스톱 랜섬웨어는 취약점을 통해 감염이 이뤄졌을 가능성이 높으므로 윈도우, 웹 브라우저, 어도비 플래시 프로그램에 대한 최신 보안 업데이트를 적용해야 한다”며 “체크멀의 ‘앱체크’는 스톱 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”고 말했다.
