확장자 없는 부팅 파일 암호화하고 PC 셧다운시켜 먹통 만들어
피해자는 랜섬웨어 감염 여부 모르고, 공격자는 돈도 못 받아
10일 오전 국내 감염사례 발견...사용자 주의해야

[보안뉴스 원병철 기자] 확장자가 없는 파일도 암호화해 부팅 자체를 불가능하게 하는 랜섬웨어가 국내에서 발견됐다. 재미있는 것은 이렇게 되면 감염자가 랜섬웨어 감염 자체를 알 수 없게 될 뿐만 아니라 공격자의 몸값 지급 메시지인 랜섬노트도 볼 수 없어 제작자의 실수로 추정된다.


▲ 10일 오전 확인된 국내 SCARAB 랜섬웨어 감염 사례[자료=인터넷 캡처]

보안기업 하우리가 발견한 ‘SCARAB’ 랜섬웨어는 확장자가 존재하지 않는 경우에도 암호화를 수행하도록 설계됐다. 이 경우, 윈도우의 시스템 파일까지 암호화시키기 때문에 운영체제 부팅이 아예 불가능하다. SCARAB 랜섬웨어에 감염되면, PC 내 특정 확장자의 파일들을 암호화하고, 확장자를 ‘암호화된 파일명+해커의 전자 메일 주소.scarab’으로 변경한다. 또한, 변경된 파일이 존재하는 폴더에는 텍스트 파일을 생성해 사용자에게 위험 사실을 알리고 전자메일을 보낼 것을 유도한다.


▲ SCARAB 랜섬웨어의 감염 알림 메시지(랜섬노트)[자료=하우리]

SCARAB 랜섬웨어는 특정 확장자의 파일 뿐만 아니라 확장자가 없는 파일도 암호화 대상으로 하고 있기 때문에, ‘C:\’ 경로의 △ntldr △grldr △bootmgr 파일들 역시 암호화 대상이 된다. 해당 파일들은 마이크로소프트의 운영체제를 부팅하는 과정에서 필요한 파일들이기 때문에, 파일이 손상(암호화) 된 운영체제는 부팅이 불가능하다.​


▲ 변경된 확장자명[자료=하우리]

파일에 대한 암호화가 완료된 이후, 감염 알림 메시지를 출력함과 동시에 윈도우 운영체제를 종료시키는 명령(Shutdown)이 수행된다. 따라서 랜섬웨어에 감염될 경우, 감염 PC는 부팅이 불가능한 상태가 되기 때문에 랜섬웨어 감염 알림 메시지를 확인할 수도 없다.​


▲ 부팅실패 알림 문구[자료=하우리]

즉, SCARAB 랜섬웨어에 감염되면 암호화한 이후 자동으로 운영체제를 종료시키는데, 부팅 파일을 암호화해 버렸기 때문에 다시 부팅도 안 되는 사태가 벌어진다. 결국 사용자는 컴퓨터가 랜섬웨어에 감염됐는지조차 모르고 포맷할 수밖에 없게 되는 셈이다.

제작자의 꼼꼼한 성격(?) 때문에 사용자는 복구 시도조차 할 수 없게 되고, 공격자는 몸값을 받을 수 없는 사태를 불러온 SCARAB 랜섬웨어는 10일 오전 국내에 유입된 것으로 확인됐다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>