침해사고/위협동향

‘코로나 랜섬웨어’ 등장··· ‘핵빗 랜섬웨어’ 변종

이종현
[디지털데일리 이종현기자] 코로나바이러스감염증-19(이하 코로나19)가 확산되며 대중들의 관심과 공포가 커지는 가운데 코로나19 이슈를 노린 ‘코로나 랜섬웨어’가 등장해 주의가 필요하다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 해당 랜섬웨어는 지난해 11월 유포됐던 ‘핵빗(Hakbit)’ 랜섬웨어의 변종으로 추정된다. 랜섬웨어가 랜섬노트를 화면에 띄우는 방식을 비롯해 요구하는 금액과 안내하는 비트코인 지불 사이트, 랜섬노트 내용 등이 유사하다.

이번 코로나 랜섬웨어에 감염될 경우 사용자에게 보여주는 랜섬노트 내용에는 피해자가 공격자에게 돈을 지불하면 받을 수 있는 해독기(Decoder)를 ‘코로나 해독(Corona Decryption)’이라고 명명하고 있다. 랜섬노트 최하단에는 코로나 랜섬웨어라는 이름이 적시돼 있다.

이 랜섬웨어는 이전 랜섬웨어와 마찬가지로 감염자의 파일을 암호화한다. 파일 암호화 진행시 쉐도우 볼륨 및 윈도 백업 관련 파일을 삭제해 사용자가 복호화키 없이는 파일을 원상복구하지 못하도록 한다.

공격자는 암호화를 볼모로 금전을 요구한다. 해당 랜섬웨어는 피해자에게 암호화한 파일에 대한 복구 비용으로 300달러(한화로 약 35만원) 가치의 비트고인 암호화폐 지불을 요구한다.

ESRC 관계자는 “코로나 랜섬웨어는 이메일 첨부파일을 통해 초기 유포가 이뤄졌을 것으로 추정된다”며 “대다수 랜섬웨어 공격이 악성 이메일을 통해 최초 공격이 시작되는 점을 염두에 두고 출처를 알 수 없거나 의심되는 메일에 대한 첨부파일 열람에 주의를 기울여야 한다”고 말했다.

한편 코로나 랜섬웨어의 경우 기존 핵빗 랜섬웨어 복호화툴로는 복호화가 되지 않는 것으로 확인됐다.

<이종현 기자>bell@ddaily.co.kr

이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널