지난해 4월, 12월에 각각 '크립토락커', '라다만트'라는 랜섬웨어의 한글 버전이 등장한데 이어 최근 '크립트XXX'도 한글 버전이 새롭게 발견되면서 피해확산이 우려되는 상황이다.
공격자들이 전 세계 PC, 노트북, 서버 등에 저장된 중요 문서파일들을 암호화한 뒤 이를 풀어주는 대신 대가를 요구하는 랜섬웨어를 나라별로 서로 다른 언어로 지원하는 방식으로 제작, 유포되고 있는 가운데 한국어까지 지원하고 나선 것이다. 공격자들 입장에서 수익이 많이 나오거나 감염확률이 높은 곳으로 한국을 지목했을 가능성이 높은 것으로 지적되는 이유다.
30일 하우리 CERT실 최상명 실장에 따르면 지난주부터 등장하기 시작한 크립트XXX 한글 버전은 암호화를 풀어주는 대가를 지불할 수 있는 방법을 안내하는 창을 한국어로 안내하고 있는 것으로 확인됐다. 이 버전은 기존처럼 어도비 플래시 취약점을 통해 '*.dll' 파일 형태로 유포되고 있다.
이 랜섬웨어에 감염되면 주요 파일들이 암호화된 뒤 확장자가 '*.cryp1'로 변경된다. 이후에는 재부팅을 유도해 비트코인 입금 안내창을 띄운다. 화면에 표시되는 URL에 접속해 한글 옵션을 선택하면 피해자들이 이해하기 쉽도록 한국어로 번역된 안내창이 나온다.
하우리 보안대응팀 전성윤 연구원은 "새로 발견된 크립트XXX 변종은 크립토락커, 라다만트에 이어 세번째로 한글을 지원하는 랜섬웨어"라며 "현재 앵글러 익스플로잇키트를 통해 국내 웹사이트에 유포되고 있는 만큼 기업, 기관, 개인들의 각별한 주의가 필요하다"고 밝혔다.
현재 하우리가 발견한 크립트XXX는 3.x 버전이며, 자사 백신인 바이로봇을 통해 'Trojan.Win32.CryptXXX'라는 진단명으로 탐지, 치료하는 중이다.(http://www.hauri.co.kr/Ransomware)
안랩에 따르면 이 랜섬웨어는 현재까지 버전 1.x, 2.x, 3.x 세 가지 형태가 알려져 있다.
이들 중 안랩은 한글화 이전에 발견된 크립트XXX 2.x 버전으로 암호화된 문서들에 대한 복구툴을 제공한다고 밝혔다. '안랩 랜섬웨어 보안센터'를 통해 지원되는 이 툴은 일반적인 문서파일 외에 한글문서파일(*.hwp)에 대해서도 복구를 지원하는 것이 특징이다.(관련링크)
관련기사
- 악질 랜섬웨어 '테슬라크립트' 폐쇄...파일복구 가능해져2016.05.30
- 1분기 랜섬웨어 유포, 전년동기대비 17배 늘어2016.05.30
- 랜섬웨어, 서비스 대행사까지 등장2016.05.30
- 신종 랜섬웨어, 하드디스크-OS 먹통 만들어2016.05.30
안랩 툴을 통해 크립트XXX 2.x 버전으로 암호화된 파일들 중 복구가 가능한 형식은 다음과 같다.
CHM, AI, HWP, PDB, PDF, RTF, HTM, HTML, PHP, XML, DWG, PS, WSF, KEY, CSR, CRT, WAV, MP3, OGG, WMA, WMV, AVI, ASF, MP4, MOV, MID, MPG, FLV, PNG, GIF, BMP, TIF, JPG, JPEG, ZIP, RAR, BZ2, 7Z, GZ, JAR, APK, TGZ, ODS, DOC, DOT, PPT, POT, PPS, XLS, XLT, DOCX, DOCM, DOTX, DOTM, PPTX, PPTM, POTM, POTX, PPSM, XLSX, XLSB, XLSM, XLTM, XLTX, EPS, ISO, SQLITE3, MDB, MSI, APP, FDB, ACCDB, SLN, CLASS, VCXPROJ