사용자 PC 파일을 무단으로 암호화하고 이를 복구하려면 약 175만원을 내놓으라고 협박하는 신종 랜섬웨어 '크립토럭(CryptoLuck)'이 국내 유포됐다.
16일 하우리(대표 김희천)는 크립토럭이 웹을 통해 유포되고 있다며 사용자들에게 주의를 당부했다.
사용자PC가 크립토럭 랜섬웨어에 감염되면 파일이 암호화되고 그 확장자가 '임의의 문자 8자_luck' 형태로 바뀐다. 공격자는 피해자에게 이를 원래 파일로 복구하려면 자기 비트코인 지갑으로 2.1비트코인(약 175만원)을 보내라고 요구한다. 이를 72시간 이내에 지불하지 않을 경우 피해자의 파일 복구를 위한 개인키를 삭제해 복구가 안 될 것이라고 협박하기도 한다.
크립토럭은 '리그(RIG)' 익스플로잇킷을 통해 웹에서 유포되고 있으며, 실행 과정에서 구글 크롬 브라우저 업데이트를 위한 파일(GoogleUpdate.exe)을 사용한다. GoogleUpdate.exe는 구글이 제작한 '크롬' 윈도용 버전이 브라우저 업그레이드를 위해 필요로하는 정상 파일이다. 크립토럭은 이 정상 파일에 포함된 DLL 하이재킹 취약점을 이용해, DLL 형태의 랜섬웨어 파일(goopdate.dll)을 실행한다.
관련기사
- 바이러스 메일 부쩍 늘었다…3분기 245%↑2016.11.16
- 트렌드마이크로, 랜섬웨어 대응 솔루션 X젠 출시2016.11.16
- "상용 제작툴로 만든 랜섬웨어 '필라델피아' 국내 유포 주의"2016.11.16
- "한국 겨냥한 신종 랜섬웨어 '프린세스' 주의"2016.11.16
크립토럭이 윈도용 크롬 브라우저 사용자 환경을 겨냥해 만들어졌다는 얘기는 아니다. 사용자PC에 GoogleUpdate.exe 파일이 없더라도, 크립토럭이 공격을 위해 스스로 이 파일을 함께 사용한다. 크립토럭 랜섬웨어가 공격 과정에 그 자체로는 악성 행위를 하지 않는 크롬 브라우저 업데이트 파일을 동원하는 이유는, 현존하는 보안 프로그램들의 '행위기반 악성코드 탐지' 기능을 우회하기 위한 것으로 추정된다.
현재 하우리 바이로봇은 크립토럭을 'Trojan.Win32.CryptoLuck'이란 이름으로 진단하고 있다.
