‘.divinity’ 확장자로 모든 파일 암호화...암호화 해제하려면 비트코인으로 몸값 지불해야
[보안뉴스 김영명 기자] 감염된 컴퓨터 내 모든 파일을 ‘.divinity’ 확장자로 암호화하는 형태로 추정되는 침해사고가 발생하고 있다. 해당 랜섬웨어는 확장자 명에 맞춰 ‘디비니티(divinity)’라고 하며 ‘파일명.확장자.divinity’ 형식으로 모든 파일을 변경하고 있는 모습을 보이고 있다.
▲디비니티 랜섬웨어에 감염된 후 변경된 바탕화면[자료=에브리존 화이트디펜더]
에브리존 안티랜섬웨어 화이트디펜더가 분석한 정보에 따르면 디비니티 랜섬웨어는 C++ 기반의 랜섬웨어이며, 실행 시 공격 대상 컴퓨터 내 모든 드라이브에 대해 암호화를 진행한다. 암호화를 마친 다음에는 ‘Error’라는 이름으로 메시지 창이 출력된다. 이 메시지 창에는 ‘Your files have been encrypted by divinity ransomware’라는 내용이 쓰여 있으며, 피해자에게 텔레그램이나 트위터로 연락하라고 주고를 남기고 있다. 이어 임시 폴더에 생성된 이미지로 바탕화면을 임의로 변경한다.
디비니티 랜섬웨어 감염 후 모습과 랜섬노트 내용 안내 파일은 각각의 경로에 ‘ReadMe.txt’ 파일과 ‘ReadMe.html’ 파일, ‘ReadMe.bmp’ 파일 등이 생성되며, 암호화 진행 시 ‘파일명.확장자.divinity’로 파일들을 바꾸고 있다.
▲디비니티 랜섬웨어에 감염된 후 남겨진 랜섬노트[자료=에브리존 화이트디펜더]
디비니티 랜섬웨어에 감염되면 랜섬노트는 ‘HOW TO DECRTYPT FILES.txt’라는 메모장 파일로 생성된다. 또한 PC의 모든 파일이 암호화돼 열 수 없으며, 파일 잠금을 해제하기 위한 몸값을 대부분 비트코인으로 지불할 것을 요구한다.
한편, 한국인터넷진흥원에서 안내하는 랜섬웨어 감염을 최소화하는 예방법으로는 서버 백신·접근통제 소프트웨어 등 서버 보안제품을 도입하고, 악성코드 감염 및 데이터 위·변조를 차단하는 ‘시스템 보호환경 구축’ 등이 있다. 또한 운영체제, 웹브라우저, 브라우저 플러그인 및 응용 프로그램의 소프트웨어 취약점에 대한 ‘취약점 관리 및 패치’, 워드파일의 매크로 실행 등 허가되지 않은 코드의 실행 방지 및 관리자 승인 없이 사용자가 소프트웨어 설치 금지 등 ‘실행코드 제어’가 요구된다.
이와 함께 보안정보를 활용해 불명확한 사이트에 대한 접근을 차단하거나 필터링하는 ‘웹 브라우저 트래픽 필터링’, 이동식 매체의 사용 제한, 공식적인 이동식 매체 발급, 이동식 매체에 대한 악성코드 검사 및 자동실행기능 비활성화 등을 통한 ‘이동식 매체 접근 통제’, 메일 보안 솔루션 도입 등을 통해 악성코드가 첨부된 스팸메일의 내부 유입을 차단하는 ‘스팸메일 차단’ 등이 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>