"한국 겨냥한 신종 랜섬웨어 '프린세스' 주의"

하우리 "익스플로잇킷 통해 웹서핑 사용자에게 유포…약 200만원 요구"

컴퓨팅입력 :2016/09/30 16:07    수정: 2016/09/30 16:58

기존 암호화 랜섬웨어보다 높은 복호화 비용을 요구하는 신종 랜섬웨어 '프린세스(Princess)'가 발견됐다. 한국을 포함한 12개 언어권 사용자들을 겨냥하고 있어 주의를 요한다.

보안업체 하우리(대표 김희천)는 신종 랜섬웨어 프린세스를 소개하고 주의를 당부했다. 프린세스 랜섬웨어는 사용자에게 데이터의 복호화 가격으로 3비트코인(약 200만원 상당)을 요구하고 일정시간이 지난 이후엔 6비트코인을 요구하는 등 기존보다 높은 비용을 요구한다. 하우리는 바이로봇을 통해 "Trojan.Win32. PrincessLocker"라는 진단명으로 이를 발견하고 있으며 APT실드를 통해 사전 차단하고 있다고 설명했다.

신종 암호화 랜섬웨어 프린세스 감염시 피해자에게 제시되는 복호화 안내 페이지. 12개 언어 중 하나를 선택할 수 있고 여기에 한국어가 포함돼 있는 점에서 제작자들이 한국 사용자도 겨냥했음을 알 수 있다. [사진=하우리]

프린세스 랜섬웨어에 감염되면 암호화된 파일에 대한 복호화방법을 안내하는 페이지를 보여 주는데 한국어를 포함한 12개 언어를 선택하게 돼 있다. 감염 상태가 되면 PC내 주요 파일이 AES-128 대칭키 암호화 방식으로 암호화되고, 파일 확장자는 임의의 5자리 글자로 바뀐다. 이 랜섬웨어는 '리그(RIG)' 익스플로잇킷을 통해 유포되고 있다. 브라우저와 플러그인 등의 취약점을 이용해 웹사이트에 방문한 사용자를 감염시키는 방식이다.

하우리 보안대응팀 강석영 연구원은 "최근 한국어를 지원하는 랜섬웨어들이 계속 발견되고 있다"며 "공격자들이 한국도 감염 대상에 포함하는 만큼 사용자들의 각별한 주의가 필요하다"고 말했다.

관련기사