[보안뉴스 김영명 기자] ‘모건(Morgan)’이라는 이름을 가진 랜섬웨어가 발견돼 사용자들의 주의가 필요하다. 이 랜섬웨어는 모든 파일을 ‘.morgan’ 확장자로 암호화하는 형태로 추정되는 침해사고를 일으키며 확산하고 있다.
▲모건 랜섬웨어가 암호화를 진행한 후 공격자 PC 바탕화면에 적용하는 이미지[이미지=에브리존 화이트디펜더]
에브리존 화이트디펜더는 이번에 발견된 모건 랜섬웨어(Morgan Ransomware)를 분석한 결과 ‘파일명.확장자.morgan’ 형식으로 모든 파일을 변경하고 있는 모습을 보이고 있다고 밝혔다.
모건 랜섬웨어의 침해 동작방식을 살펴보면, 이 랜섬웨어는 현재 윈도 시스템에 로그인한 프로필의 라이브러리를 공격하도록 자동으로 세팅되어 있는 것을 알 수 있다. 또한 이 랜섬웨어의 침해 행위 프로세스를 살펴보면 닷넷(.NET) 기반 랜섬웨어로 중복방지 및 VM 환경 관련 체크 기능이 적용되고 있다. 이는 현재 라이브러리를 공격하고 암호화 진행 후 미국의 유명 이미지 저장소인 이머저(imgur)에 업로드된 이미지를 다운로드한 후 공격 대상 PC의 바탕화면에 적용한다.
▲imgur에 업로드된 이미지를 다운로드[이미지=에브리존 화이트디펜더]
모건(Morgan) 랜섬웨어 감염 후 모습과 랜섬노트 내용을 살펴보면 안내 파일은 자체 출력되어 배경화면에 보인다. 암호화가 진행되면 암호에 걸린 파일들은 ‘파일명.확장자.morgan’ 형식으로 바뀌게 된다. 이 랜섬웨어에 감염되면 PC의 모든 파일이 암호화되어 열 수 없으며, 몸값을 요구하는 랜섬노트 메시지가 html, txt, hat 파일로 데스크톱에 표시된다. 파일 잠금을 해제하기 위해서는 안내된 사항에 따라 몸값을 지불해야 하며, 대부분 비트코인을 요구하고 있다.
랜섬웨어 감염 예방을 위해 한국인터넷진흥원(KISA)은 “프로그램을 처음으로 설치했다면 기본 관리자 패스워드는 반드시 변경 후에 사용하며, 사용하지 않는 기본 관리자 계정을 비활성화하고 권한을 제외해야 한다”고 말했다. 이어 “알파벳 대문자와 소문자, 특수문자, 숫자를 조합한 복잡한 패스워드 사용하고 정기적으로 비밀번호를 변경하며, 계정 비밀번호 인증 이외의 추가적인 2차 인증수단을 적용하는 것도 중요하다”고 설명했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>