[디지털데일리 최민지 기자] 이셋코리아(http://www.estc.co.kr 대표 김남욱)는 크라이시스(Crysis) 및 변종 램섬웨어가 전세계적으로 확산되고 있다고 15일 밝혔다.

이셋코리아에 따르면 ‘Win32’ ‘Filecoder.Crysis’ 랜섬웨어는 높은 수준의 확산율을 나타내고 있다. 이 램섬웨어는 고정식·이동식 및 네트워크 드라이브 내의 모든 파일을 암호화하며, 강력한 암호화 알고리즘을 사용해 빠른 시간 내 대응 방법을 찾아내기 어려운 것으로 알려졌다.

크라이시스 랜섬웨어는 기존의 악성코드 확산 방법과는 다르게, 랜섬웨어 파일을 두 가지 확장자를 사용해 스팸 메일의 첨부 파일로 배포된다. 이는 첨부된 랜섬웨어 파일이 실행 파일이지만 실행 파일이 아닌 것처럼 보이게 한다.

또 다른 감염 경로는 적법한 애플리케이션의 설치 파일을 검색하기 위한 도구로 위장해 다양한 인터넷 사이트와 공유 네트워크를 통해 배포된다. 일단 감염이 되면 지속적인 실행을 위해, 시스템이 시작될 때마다 동작되도록 레지스트리 항목을 추가한다.

이 랜섬웨어가 실행되면, 동작에 필요한 운영체제 파일과 램섬웨어 자체 파일을 제외한 모든 파일을 암호화하고 컴퓨터 이름과 특정 형식으로 암호화된 파일 수를 수집한 후 명령제어(C&C) 서버로 전송한다. 일부 윈도우 버전에서는 램섬웨어를 관리자 권한으로 실행해 파일의 암호화 영역을 확대하려는 시도를 한다.

악성 행위를 완료한 후 복구 방법을 안내하는 텍스트 파일을 바탕 화면 폴더에 생성하며, 경우에 따라 배경 화면에 랜섬 메시지를 표시하는 이미지 파일을 동반하기도 한다.

처음에는 두 개의 공격자 이메일 주소만 표시되지만, 해당 주소로 이메일을 보내면 파일 복호화에 필요한 비용을 비트코인으로 송금하도록 하는 추가적인 요구사항을 전달받게 된다.

김남욱 이셋코리아 대표는 “최근 발견되는 악성코드의 60% 정도가 랜섬웨어로 알려져 있을 정도로 랜섬웨어의 피해는 매우 심각하다”며 “시스템에서 자바스크립트의 유입이나 실행 자체를 차단하지 않는 이상, 사전 방역이 쉽지 않은 것이 현실”이라고 말했다.

이어 “기업 환경 등에서는 안티스팸 기능을 적절히 활용해 스크립트를 포함하는 이메일의 내부 유입을 필터링하고, 스크립트에 의한 추가 프로그램의 다운로드나 실행 등의 기능을 차단하는 등 보다 적극적인 사전 방어 노력이 요구된다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr