최근 몇 년간 발생한 랜섬웨어의 공격이 더욱 고도화되고 있고 그 범위도 점차 확장되고 있다.
무엇보다 랜섬웨어가 다른 사이버 공격보다 가장 위협적인 공격이라는 점에서 관심을 가질 수 밖에 없는 문제이다.
심지어 공격 대상이 개인PC에 그치지 않고 기업이나 금융, 의료기관까지 확대되고 있어 더욱 경각심을 가지게 한다.
얼마전 랜섬웨어에 감염되었을 때 복구업체 고르는 방법에 대해 포스팅을 한 바 있다.
랜섬웨어의 공격을 받지 않는것이 가장 좋겠지만 이를 예방하는 방법 또한 중요하다.
다시한번 강조하지만 무엇보다 사용자의 주의가 최우선이라는 점을 명심하자.
그럼 오늘은 최근 새롭게 등장한 주요 랜섬웨어에 대해 알아 보도록 하자.
1 세르비아랜섬(SerbRansom)
- 보통 악성코드 제작자는 자신의 존재를 숨기려고 하지만 이 세르비아랜섬은 자신이 세르비아 사람임을 적극적으로 드러내는게 특징이다.
세르비아랜섬의 랜섬노트에는 “당신의 파일이 세르비아랜섬 2017에 의해 암호화되었다. 복구하겠는가? 당신의 데이터를 복화하려면 500달러를 비트코인으로 지불해야 한다(Your files has been encrypted with serbransom 2017, How to recover? To decrypt all your data you need to pay 500$ with BitCoin here)” 라고 적혀 있다.
또한 ‘.velikasrbjia’라는 표현이 있으며, 이는 세르비아어로 ‘큰 세르비아(Velika Srbjia)’라는 의미이다. 이 밖에 랜섬노트 중앙에는 세르비아 국기와 5분마다 파일이 무작위로 삭제 표시되어 있지만, 실제로는 삭제되지 않는 것으로 알려져 있다.
2 헤르메스(Hermes)랜섬웨어
- 헤르메스 랜섬웨어는 확장명을 변경하지 않는 것이 특징이다. 일반적인 랜섬웨어는 감염 시 확장명을 변경하는데 확장명은 랜섬노트와 함께 랜섬웨어를 브랜드화하고 제작자의 존재를 표현하는 것이다.
또한 사용자에게 파일이 암호화되었음을 알리는데도 유용한 방법이다.
파일명과 확장명을 변경하지 않으면, 일반적인 컴퓨터 사용자는 랜섬웨어에 의한 것인지 컴퓨터 오류에 의한 것인지 구분하기 어렵기 때문이다.
3 다이나 크립트(DynA-Crypt) 랜섬웨어
- 다이나 크립트 랜섬웨어는 32bit 운영 체제에서는 실행되지 않고 64bit 실행 파일로 되어 있는 특징이 있다.
아직 32bit를 쓰는 사용자가 많은 편이고, 64bit 체제에서도 32비트 실행 파일을 이용한 랜섬웨어 감염도 가능하다.
이 랜섬웨어가 감염되면 일반 랜섬웨어에 비해 상당히 적은 50달러(약 6만원)를 비트코인(BTC)으로 요구한다.
또한 5분마다 무작위로 파일을 삭제하는데, 바탕화면에 있는 파일들을 삭제한다.
여기서 끝이 아니고 사용자 PC의 정보를 유출하는 인포스틸러(Infostealer) 기능도 포함되어 있다.
이 랜섬웨어가 유출하는 데이터는 스크린샷, 사용자 PC의 오디오 녹음, 키보드 입력 정보(키로깅), 크롬(Chrome), 파이어폭스(FireFox), 스카이프(Skype), 스팀(Steam) 등에 저장된 계정 정보 등이다.
4 스포라(Spora) 랜섬웨어
- 러시아와 구소련 국가들을 겨낭한 랜섬웨어로 주로 스팸메일을 통해 유포된다.
특징은 윈도우 볼륨 섀도우 카피를 삭제해서 윈도우 운영체제에서 제공하는 백업, 복원 기능을 무력화하여 사용할 수 없게 만든다.
특히 다른 랜섬웨어와는 다르게 파일뿐만 아니라 폴더도 감염되는데, 정상 폴더를 숨김 설정으로 변경하고 악성코드 실행 후 정상 폴더가 실행되도록 조작한다.
실제 윈도우에서는 기본 설정으로 폴더 옵션에서 숨긴 항목 표시에 체크가 되어 있지 않기 때문에 사용자가 임의로 속성을 변경하지 않는다면 폴더의 감염 사실을 알아내기가 쉽지 않다.
5 파일코더(Filecoder) 랜섬웨어
- 이 랜섬웨어는 패처 파일(Office 2016 Patcher/Adobe Premiere Pro CC 2017 Patcher)로 위장하여 유포되며, 실행 시 시작(Start) 버튼이 있는 투명창이 나타난다.
이 버튼을 누르면 파일의 암호화가 시작되는데, 이는 맥 운영체제 유틸리티인 파인드(find) 명령어를 통해 파일을 찾아 암호화하는 것으로 확인된다.
감염이 발생하면 지정된 폴더에 ‘README, HOW_TO_DECRYPT’ 등의 텍스트 파일들이 만들어지며 랜섬노트를 통해 비트코인을 요구한다.
당신이 좋아할만한 기사
'일상들 > 컴퓨터&IT 정보' 카테고리의 다른 글
| 자신의 용도에 맞는 컴퓨터(PC)를 고르는 방법! (0) | 2017.05.12 |
|---|---|
| 아이폰에서 원하는 사진만 가져오는 방법 (0) | 2017.05.06 |
| 랜섬웨어 복구업체 고를 시 알아야 할 사항 (0) | 2017.04.21 |
| 인공지능 기능이 있는 구글의 '오토드로우'로 그림그리기 (0) | 2017.04.20 |
| 스마트폰 바꿀 때 꼭 알아두어야 할 것 (0) | 2017.04.14 |
| 내 컴퓨터에 있는 이름모를 폴더의 정체는 무엇일까? (0) | 2017.03.31 |
| 네이버 웨일 브라우저 설치로 옴니태스킹을 마음껏 누려보자. (0) | 2017.03.18 |
