선 랜섬웨어의 랜섬노트. /사진=안랩
웹사이트 광고로 유포되는 ‘선 랜섬웨어’기 국내에서 발견돼 사용자의 주의가 요구된다.

30일 안랩 등 보안업계에 따르면 공격자가 특정 웹사이트 광고서버 취약점을 악용해 관리자 권한을 획득하고 사이트 내 광고에 악성 스크립트를 삽입하는 선 랜셈웨어가 발견됐다.


사용자가 해당 웹사이트에 접속하면 광고에 삽입된 악성 스크립트가 자동 동작해 ‘그린플래시 선다운 익스플로잇 킷’을 실행시킨다. 그린플래시 선다운 익스플로잇 킷은 사용자 PC 내 어도비 플래시플레이어 버전을 체크해 취약점이 확인되면 랜섬웨어를 감염시킨다.

이번 랜섬웨어 감염사례는 국내 특정 뉴스사이트 광고에서 발견돼 국내 사용자가 타깃이 됐다.


선 랜섬웨어에 감염되면 사용자 파일이 암호화되며 파일 확장자가 .FIXT로 바뀐다. 암호화 이후에는 YOUR_FILES_ARE_ENCRYPTED.TXT라는 이름의 랜섬노트가 뜨고 비트코인 등 암호화폐를 요구한다.

관련 랜섬웨어 피해를 줄이기 위해서는 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲운영체제(OS) 및 인터넷 브라우저, 어도비, 자바 등 응용프로그램, 오피스 SW 등 프로그램 최신 보안 패치 적용 ▲최신버전 백신 사용 ▲중요 데이터 백업 등 기본 보안 수칙을 준수해야 한다.


박태환 안랩 ASEC대응팀장은 “이번 랜섬웨어는 향후 이력서나 정상 설치파일로 위장하는 등 다양한 방법으로 유포될 수 있어 사용자 주의가 필요하다”고 말했다.