세 번째 한글버전 랜섬웨어, 플래시 취약점 이용해 국내 유포 중

[보안뉴스 김태형] 최근 랜섬웨어 ‘CryptXXX’의 한글화 버전이 등장해 주의가 필요하다. 이는 세 번째 한글버전 랜섬웨어로 플래시 취약점을 이용해 국내에 유포되고 있는 것으로 밝혀졌다.


▲ ‘CryptXXX’ 랜섬웨어의 한글화된 비트코인 지불 페이지

하우리(대표 김희천)는 최근 파일 암호화 후 한글로 비트코인 지불 안내창을 띄울 수 있는 한글화 버전의 ‘CryptXXX’ 변종 랜섬웨어가 등장했다고 밝혔다. ‘CryptXXX’ 랜섬웨어는 여러 보안업체들이 적극적으로 대응하면서 더 많은 수익을 얻기 위해 꾸준히 변화하는 양상을 보이고 있으며, 이번에 발견된 ‘CryptXXX’ 한글화 버전 변종 랜섬웨어도 기존과 마찬가지로 플래시 취약점을 통해 ‘DLL’ 파일 형태로 유포되고 있다.

‘CryptXXX’ 변종 랜섬웨어에 감염되면 PC의 주요 파일들이 암호화되고 확장자는 ‘.cryp1’로 변경된다. 이후 재부팅을 유도한 다음 비트코인 입금 안내창을 띄운다. 안내하는 URL로 접속하여 한글 옵션을 선택하면 피해자들이 이해하기 쉽도록 한글로 번역된 안내문이 보인다. 이전에 등장한 한글 지원 랜섬웨어들에 비해 가독성이 매우 증가한 것이 특징이다.

이에 대해 하우리 보안대응팀 전성윤 연구원은 “이번에 발견된 ‘CryptXXX’ 랜섬웨어는 ‘크립토락커’, ‘라다만트’ 랜섬웨어를 이어 세 번째로 한글을 지원하는 랜섬웨어다. 현재 앵글러 익스플로잇 킷을 통해 국내 사이트에서 유포 중인 만큼 국내 기업 및 기관 그리고 개인 사용자들의 각별한 주의가 필요하다”고 밝혔다.

한편, 하우리 바이로봇에서는 ‘CryptXXX’ 랜섬웨어를 ‘Trojan.Win32.CryptXXX’라는 진단명으로 탐지해 치료하고 있으며, 기타 랜섬웨어 정보 및 예방법은 하우리 랜섬웨어 정보센터(www.hauri.co.kr/Ransomware)를 통해 확인이 가능하다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>