국내 웹 서버 통해 '사탄 랜섬웨어' 유포

[아이뉴스24 성지은 기자] 국내 웹 서버를 통해 랜섬웨어가 유포되고 있어 사용자 주의가 필요하다.

보안전문기업 하우리는 웹 서버를 통해 사탄(Satan) 랜섬웨어가 유포된 정황이 발견됐다며 3일 사용자 주의를 당부했다.

이번에 발견된 사탄 랜섬웨어는 2.1 버전으로, 한국어 지원이 추가됐다. 지난해 11월 국내에 유포된 사탄 랜섬웨어와 동일한 국내 웹 서버를 통해 유포됐다.

사탄 랜섬웨어는 누구나 손쉽게 랜섬웨어를 제작하고 유포할 수 있는 서비스형 랜섬웨어(RaaS)다. 서비스형 랜섬웨어란 랜섬웨어를 판매·관리·배포하는 서비스다.

랜섬웨어의 수익성이 높아지자 랜섬웨어를 대신 제작하고 배포하는 서비스가 생겨났다. 사탄 랜섬웨어 서비스는 제작에 비용이 들지 않는다. 대신 랜섬웨어 피해자가 지급하는 몸값의 일부를 수수료로 받는다.

하우리에 따르면, 사탄 랜섬웨어에 감염될 경우 사용자 PC 주요 파일이 암호화되고 확장자(.satan)가 추가된다. 모든 암호화 작업을 완료하면 랜섬웨어 감염노트(ReadMe_@.TXT)와 복호화 프로그램(Notice.exe)이 생성된다.

몸값으로 0.3 비트코인(한화 약 220만원)을 보내면 복호화 프로그램에 입력할 수 있는 키를 준다고 요구한다. 다만 3일이 지나면 파일을 복구할 수 없다고 협박한다.

하우리 침해대응(CERT)실은 "지난해 국내에서 크게 랜섬웨어를 감염시켰던 공격자가 최근 활동을 다시 하는 것으로 추정된다"며 "랜섬웨어에 감염되지 않도록 보안 프로그램을 최신으로 업데이트하고, 중요 데이터는 반드시 백업해야 한다"고 조언했다.