웹으로 유포되는 '신종 랜섬웨어' 주의

[성지은기자] 하우리는 최근 웹을 통해 신종 랜섬웨어 '크립토럭(CryptoLuck)'이 국내에 유포돼 사용자들의 주의가 요구된다고 16일 발표했다.

크립토럭 랜섬웨어는 감염 사용자 PC 파일들을 암호화하고, 파일 확장자를 '.[8자리 임의문자]_luck'으로 변경한다.

공격자는 파일 복호화(암호 해제) 비용으로 2.1 비트코인(한화 약 175만원)을 요구하며, 72시간 이내에 지불하지 않으면 복구가 불가능하다고 협박한다.

이번 랜섬웨어는 악성코드를 실행하기 위해 정상 프로그램의 DLL 하이재킹 취약점을 이용했다. 정상 구글 업데이트 파일(GoogleUpdate.exe)의 DLL 하이재킹 취약점을 이용, 악성 랜섬웨어 DLL 파일(goopdate.dll)을 불러오고 랜섬웨어를 실행시키는 것.

DLL 하이재킹은 윈도에서 응용 프로그램을 실행하는 데 필요한 DLL 파일을 위조된 DLL 파일로 대체하고, 해당 응용 프로그램을 실행하면 바꿔치기 된 위조 DLL 파일의 라이브러리가 참조되면서 PC가 감염되도록 하는 것을 말한다.

윤용석 하우리 보안연구팀 연구원은 "이번에 발견된 크립토럭 랜섬웨어는 '리그(RIG)' 익스플로잇 킷을 통해 웹 상에서 유포되고 있어 많은 감염자가 발생할 수 있다"면서 "웹사이트 접속 시 각별히 주의해야 한다"고 당부했다.

백신 등을 이용해 랜섬웨어 위협을 낮출 수 있다. 현재 하우리 바이로봇은 해당 랜섬웨어를 'Trojan.Win32.CryptoLuck'으로 진단하며, 바이로봇 에이피티 쉴드를 통해 사전 차단한다.