한국어 페이지 제공하는 두 번째 랜섬웨어...국내서 크리스마스에 최초 발견

[보안뉴스 민세아] 얼마 전 새로 등장한 랜섬웨어(Ransomware) 라다만트(Radamant)가 한국에 본격 상륙했다는 소식이다.



랜섬웨어란 인질을 뜻하는 랜섬(Ransom)과 제품을 뜻하는 웨어(Ware)가 합쳐진 말로, 사용자 PC의 파일을 암호화하고 인질로 삼아 몸값을 요구하는 악성코드를 말한다.

라다만트는 12월 중순 경 해외에서 처음 발견된 이후 12월 25일 경 한국에서 처음 발견됐다. 한국어 페이지를 제공하는 랜섬웨어로는 크립토락커(Crypt0Locker) 이후 처음이다.

랜섬웨어 라다만트는 크리스마스 기간동안 주로 쇼핑 사이트에서 유포됐다. 더욱이 다른 랜섬웨어들보다 가격이 약 30만원 정도로 저렴한 편이다.

라다만트는 RSA-2048, AES-256 암호화 알고리즘을 통해 파일을 암호화한다. 처음 해외에서 발견된 버전은 파일을 .rdm 확장자로 변경하는데, 이번에 국내에서 발견된 라다만트는 파일을 .rrk 확장자로 변경한다.

또한, 다른 랜섬웨어들과 마찬가지로 %WINDIR% 폴더에 DirectX.exe 파일명으로 악성코드를 생성하고, DBD(Drive-By Download) 방식으로 유포된다. DBD 방식은 웹 브라우저 및 웹 브라우저 플러그인 취약점을 이용해 악성코드를 유포하는 방식이다.

하우리 최상명 CERT실장은 “라다만트는 한국을 공격대상 중 하나로 삼았기 때문에 앞으로 더 자주 등장하는 랜섬웨어가 될 것”이라고 전했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>