하우리, 웹 통한 크립토럭 랜섬웨어 국내 유포 주의

기자정보, 기사등록일
입력 2016-11-16 17:36
    도구모음
  • 글자크기 설정

[하우리]


아주경제 이정하 기자 = 보안전문기업 하우리는 최근 웹을 통해 신종 랜섬웨어인 '크립토럭(CryptoLuck)'이 국내에 유포되고 있어 사용자들의 주의가 필요하다고 16일 밝혔다.

이번에 발견된 '크립토럭' 랜섬웨어에 감염되면 사용자 PC의 파일들을 암호화하고 파일 확장자를 '.[8자리 임의문자]_luck'으로 변경한다.

공격자는 파일 복호화 비용 2.1 비트코인(한화 약 175만원)을 자신의 비트코인 지갑으로 보내줄 것을 요구한다. 또한 72시간 이내에 지불하지 않을 경우 개인키를 삭제해 복구가 불가능하다고 협박한다.

이번 랜섬웨어는 악성코드를 실행하기 위해 정상 프로그램의 DLL 하이재킹 취약점을 사용했다. 정상 구글 업데이트 파일(GoogleUpdate.exe)의 DLL 하이재킹 취약점을 이용하여 악성 랜섬웨어 DLL 파일(goopdate.dll)을 로드하여 랜섬웨어를 실행시킨다. 이는 행위기반의 보안 프로그램의 악성코드 탐지를 우회하기 위한 것으로 추정된다.

윤용석 하우리 보안연구팀 연구원은 "이번에 발견된 '크립토럭' 랜섬웨어는 '리그(RIG)' 익스플로잇 킷을 통해 웹 상에서 유포되고 있어 많은 감염자가 발생할 수 있을 것"이라며 "웹사이트 접속 시 사용자들의 각별한 주의가 필요하다"고 말했다. 

현재 하우리 바이로봇에서는 해당 랜섬웨어에 대해 'Trojan.Win32.CryptoLuck'로 진단이 가능하며, 바이로봇 에이피티 쉴드를 통해서도 사전 차단이 가능하다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

컴패션_PC
0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
실시간 인기
기사 이미지 확대 보기
닫기