모든 파일이 .allahuakbar로 암호화 되는 랜섬웨어
에브리존 화이트디펜더, 알라후아크바르 랜섬웨어 침해사고 분석

[보안뉴스 김영명 기자] 최근 ‘알라후아크바르(AllahuAkbar)’라는 이름의 랜섬웨어가 모든 파일을 ‘.allahuakbar’ 확장자로 암호화하는 형태로 하는 침해사고가 발생한 것으로 알려졌다. 이번 랜섬웨어 침해사고는 확장자 명을 따서 알라후아크바르 랜섬웨어로 불리고 있으며, ‘파일명.확장자.allahuakbar’ 형식으로 모든 파일을 변경하고 있는 모습을 보이고 있다.


▲알라후아크바르 랜섬웨어 감염 후 랜섬노트 화면[자료=에브리존 화이트디펜더]

에브리존 화이트디펜더는 최근 알라후아크바르 랜섬웨어에 대해 분석했다. 알라후아크바르 랜섬웨어는 C# 닷넷 기반 카오스 계열 랜섬웨어다. 이 랜섬웨어가 실행되면 특정 언어를 사용하는 OS(운영체제)에서는 작동하지 않도록 처리되어 있으며, 암호화가 진행되기 전 레지스트리에 중복 방지 문자열을 생성해 여러 번 암호화가 진행되지 않도록 방지한다.

암호화가 진행되면 사용자의 복구를 어렵게 하기 위해 쉐도 복사본 및 백업 카탈로그를 삭제하고, 윈도 복구 기능과 오류 알람 기능을 비활성화한다. 추가로 레지스트리 값을 추가해 작업관리자를 비활성화하고, 시작프로그램에 랜섬웨어의 실행파일을 등록한다.


▲랜섬웨어 감염 후 암호화된 확장자[자료=에브리존 화이트디펜더]

알라후아크바르 랜섬웨어에 감염되면 PC의 모든 파일이 암호화되어 열 수 없으며, ‘how_to_decrypt.txt’라는 이름으로 랜섬노트가 남겨진다. 몸값을 요구하는 랜섬노트 메시지가 html, txt, hat 파일로 데스크톱에 표시되며, 파일 잠금을 해제하려면 몸값을 지불해야 하는데 대부분 비트코인을 요구하고 있는 것으로 알려졌다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>