코로나19 악용 랜섬웨어 'PC 치명적 손상 주의'

코로나19 악용 랜섬웨어 “PC 치명적 손상 주의” AhnLab ASEC 분석팀 l 2020-04-01     안랩은 최근 ASEC 블로그를 통해 코로나바이러스를 악용한 랜섬웨어가 유포되고 있으니 각별한 주의가 필요하다고 발표했다.     ASEC에 따르면 이 랜섬웨어는 coronaVi2022@protonmail.ch이라는 이름의 발송자가 보내는 이메일을 통해 유포되고 있다. 이 랜섬웨어 감염되면 ‘코로나바이러스(CoronaVirus.txt)’ 이름의 랜섬웨어 노트를 생성하며, 이 랜섬노트에는 “여기에서 우리는 희망을 포기(desine sperare qui hic intras)”라는 의미의 라틴어를 포함하고 있다. 랜섬웨어 제작자는 암호화된 파일 복구 대가로 비트코인 지불(0.008 btc, 50$)을 요구한다.   [그림 1] 코로나바이러스 랜섬웨어 랜섬노트   이 랜섬웨어 감염되면 하드디스크에 존재하는 파일명에 해당 랜섬웨어 발송자의 이메일 계정 이름이 추가되어 파일이름이 변경된 것을 확인할 수 있다([그림 2] 참고).   [그림 2] 코로나바이러스 랜섬웨어 감염 시 파일명 변경   이 랜섬웨어는 파일감염 뿐만 아니라 디스크 감염도 이루어진다. 사용자가 감염된 후 재부팅이 되면 정상적인 부팅이 아닌 랜섬노트가 발생한다. 특히, 윈도우 복구 기능을 통한 백업까지 무력화하는 것으로 나타났다. 즉, 일반적인 랜섬웨어에서는 윈도우 복원 기능을 통한 백업을 수행하지 못하도록 볼륨 섀도우 복사본을 삭제하는 기능이 존재하지만, 이 랜섬웨어는 추가로 시스템 백업까지 삭제하는 것이 특징이다. 따라서 이 랜섬웨어에 감염될 경우에는 PC가 손상될 가능성이 높으므로 각별히 주의해야 한다.   현재 안랩 V3 제품에서 해당 악성코드를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Trojan/Win32.RansomCrypt (2020.03.24.05) Malware/MDP.Ransom.M2812 Malware/MDP.Manipulate.M2818   랜섬웨어에 감염되지 않으려면 의심스러운, 또는 일반적이지 않은 이메일을 수신 시 더욱 각별히 주의해야 하며, 업무와 관련된 것으로 보이는 이메일도 첨부 파일을 확인하거나 실행하기 전에 더욱 꼼꼼히 살펴보는 습관이 필요하다. 또한 V3의 엔진 버전을 최신 상태로 유지하고 실시간 검사 기능을 활성화(On)하는 것이 좋다.   해당 악성코드에 대한 상세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ ASEC 블로그 바로가기