본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

'개인 파일 유포’ 협박하는 랜섬웨어 등장!

by 파스칼바이런 2015. 12. 30.

'개인 파일 유포’ 협박하는 랜섬웨어 등장!

AhnLab / 2015-12-23

 

 

 

 

랜섬웨어로 전세계가 몸살을 앓고 있다. 국내에서는 올해부터 본격적으로 나타나기 시작했지만 해외에서는 이미 수년 전부터 랜섬웨어가 지속적으로 증가해왔다. 최근에는 독일을 비롯한 유럽 국가에서 사용자 PC의 파일을 암호화할 뿐만 아니라 해당 파일을 인터넷 상에 유포하겠다고 협박하는, 이른바 ‘키메라(Chimera)’ 랜섬웨어가 등장해 긴장을 야기하고 있다.

 

키메라(Chimera) 랜섬웨어는 지난 9월 독일에서 처음 피해 사례가 보고된 신종 랜섬웨어다. 아직 우려할 정도는 아니지만 최근 해당 랜섬웨어 제작자가 공모자들을 모집하고 있는 것으로 파악돼 주의가 요구된다.

 

[그림 1]은 키메라 랜섬웨어에 감염되었을 대 나타나는 화면이다. 다른 랜섬웨어와 마찬가지로 사용자 PC 내의 파일을 암호화한 후 감염 사실 안내와 함께 비트코인을 요구하는 HTML 페이지를 생성한다. 이때 “돈(비트코인)을 지불하지 않으면 암호화된 파일을 인터넷에 유포하겠다”는 협박까지 덧붙인다([그림 1] 노란색 표시 부분). 다행히(?) 협박 내용과는 달리 해당 랜섬웨어는 암호화된 파일을 유출하는 기능은 갖고 있지 않은 것으로 확인됐다.  

 

[그림 1] 키메라(Chimera) 랜섬웨어 감염

 

 

또한 다른 랜섬웨어보다 키메라 랜섬웨어가 암호화하는 파일의 확장자 종류와 범위가 넓다. 문서 파일 뿐만 아니라 Windows 시스템 구동에 필요한 boot.ini, system.ini 파일까지 암호화하는 것으로 확인됐으며, 시스템 환경에 따라 차이가 있지만 일부 Windows XP 환경에서는 재부팅 시 오류를 유발했다.

 

[표 1] 키메라 랜섬웨어가 암호화하는 파일의 확장자

 

 

키메라 랜섬웨어에 감염되면 [표 1]과 같은 확장자를 가진 파일들의 확장자명 뒤에 .crypt가 붙으며 암호화된다. 시스템 구동에 필요한 파일까지 막무가내로 암호화되다 보니 [그림 2]와 같이 ‘Windows 파일 보호’ 경고창이 나타나기도 한다.

 

[그림 2] 파일 암호화 후 나타나는 Windows 파일 보호 경고창

 

 

또한 감염을 알리는 HTML 페이지의 소스코드를 확인한 결과, 키메라 랜섬웨어 제작자가 동업자를 모집하고 있었다. [그림 3]은 소스코드 일부로, “제휴 프로그램을 통해 이익의 50%를 주겠다”는 내용과 함께 비트메시지(BitMessage)를 이용해 연락을 취하라는 내용을 볼 수 있다. 비트메시지는 P2P 형식의 암호화 이메일 시스템으로, 추적을 피하기 위한 것으로 보인다.

 

[그림 3] 동업자를 모집하는 키메라 랜섬웨어 제작자

 

 

V3 제품에서는 키메라 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Trojan/Win32.Chimera (2015.11.10.07)

 

아직 키메라 랜섬웨어가 국내 유포 정황은 포착되지 않았다. 그러나 키메라 랜섬웨어 제작자가 공모자를 모집하고 있는 만큼, 언제든 신•변종 키메라 랜섬웨어가 급증할 수 있어 사용자들의 주의가 필요하다.

 

키메라 랜섬웨어는 주로 스팸 메일을 통해 유포되고 있는 것으로 알려져 있다. 따라서 출처를 알 수 없거나 의심스러운 이메일은 가급적 즉시 삭제하는 것이 바람직하다. 또한 유명 배송업체 등 낯익은 발신자가 보낸 이메일의 경우에도 첨부 파일을 바로 실행하는 것이 아니라 일단 PC에 저장 후 백신으로 검사하는 습관을 갖는 것이 좋다. 이와 함께 랜섬웨어 피해를 예방하기 위해 평소 중요한 데이터를 백업해두는 등의 노력도 필요하다.

 

한편 안랩은 ‘랜섬웨어 보안센터’ 웹사이트를 개설하고 최신 랜섬웨어 정보를 비롯해 랜섬웨어 예방을 위한 보안 수칙과 이를 쉽게 수행할 수 있는 가이드를 제공하고 있다.