[성지은기자] 하우리는 20일 윈도 바로가기 형태로 유포되는 신종 랜섬웨어가 발견, PC 이용자들의 각별한 주의를 당부했다.
이번에 확인된 랜섬웨어는 문서 아이콘으로 위장한 윈도 바로가기(LNK) 파일로, 스팸 메일에 첨부돼 유포된다.
파일 클릭 시 사용자 PC에 악성 자바스크립트(JS) 파일을 생성하고, 악성 자바스크립트는 네트워크를 통해 워드파일(DOCX)과 랜섬웨어(EXE)를 다운로드한 뒤 실행한다. 사용자에겐 정상 문서파일을 보여줌으로써 감염 사실을 숨긴다.
윈도 바로가기 파일은 특정 경로의 프로그램을 빠르게 실행할 수 있도록 도와주는 파일이다. 하지만 최근엔 악성코드를 실행하는 용도로도 악용되고 있으며, 이번 랜섬웨어 유포에도 사용됐다.
해당 랜섬웨어는 사용자 PC의 사진, 그림 파일, 각종 오피스 문서 등을 암호화해 몸값을 요구한다. 암호화된 파일은 확장자 뒤에 '.vault'가 추가되며 파일을 사용할 수 없게 된다.
하우리 보안대응팀 이경민 주임연구원은 "기존 랜섬웨어는 악성 스크립트(.js, .vbs, .wsf 등) 파일이나 악성 매크로가 삽입된 문서파일을 사용했지만, 이번에는 윈도 바로가기 파일을 이용하는 식으로 진화했다"면서 "랜섬웨어 유포 공격자들이 다양한 방법을 사용해 진화하고 있어 지속적 관찰할 필요가 있다"고 말했다.
한편, 하우리 바이로봇은 해당 악성코드를 'LNK.Agent, JS.Downloader, Trojan.Win32.VaultCrypt' 진단명으로 탐지해 치료하고 있다. 기타 랜섬웨어 정보 및 예방법은 하우리 랜섬웨어 정보센터를 통해 확인할 수 있다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기