최근 가짜 윈도우 업데이트 설치 화면을 이용하는 신종 랜섬웨어가 유포돼 사용자의 주의가 요구된다.
안랩은 3일 가짜 윈도우 업데이트 설치 화면으로 사용자의 혼란을 유발하는 랜섬웨어가 급격하게 퍼지고 있다며 기본 보안수칙을 강화해달라고 주문랬다.
이번에 발견된 공격 방식은 ‘5926.tmp.exe’, ‘e291.tmp.exe’, ‘a717.tmp.exe’ 등의 파일명(추후 변경가능)으로 tmp파일을 사칭해 다양한 경로로 악성파일을 유포한다. 해당파일을 실행하면 특정 URL에 접속해 악성코드가 설치되는 실행파일을 임의로 다운로드한다. tmp은 임시파일의 확장자로 프로그램의 변경사항을 저장하기 위해 자동으로 생성된다는 점을 악용한 것이다.
다운로드된 악성파일은 랜섬웨어가 사용자의 PC를 암호화하는 동안 ‘업데이트를 준비 중이니 컴퓨터를 종료하지 말아달라’는 영어메시지를 화면에 출력한다.
해당 랜섬웨어의 공격을 받으면 PC 내의 파일확장자가 ‘.rezm’으로 변경되며 암호화돼 실행할 수 없게 된다. 또 ‘_readme.txt’라는 제목의 랜섬노트가 생성되면서 복호화를 대가로 금전을 요구한다.
안랩은 랜섬웨어 감염을 방지하기 위해 ▲알려진 파일형식의 확장명 숨기기 설정해제 ▲안정성이 확보되지 않은 웹사이트 방문 자제 ▲출처가 불분명한 메일 첨부파일 실행 자제 ▲운영체제(OS) 및 인터넷 브라우저 등 응용프로그램 최신보안패치 적용 ▲최신버전 백신 사용 ▲중요데이터 별도 백업 등의 기본 보안 수칙을 지켜달라고 당부했다.
이보원 안랩 분석팀 주임연구원은 “이번 신종 랜섬웨어는 파일 암호화 시간동안 사용자의 의심을 피하기 위해 가짜 윈도우 설치화면을 띄우는 것이 특징이다”며 “공격자들은 감염과 암호화 성공률을 높이기 위해 다양한 방법을 시도하기 때문에 기본 보안수칙을 생활화해야한다”고 말했다.
<저작권자 © ‘존중받는 개인, 부강한 대한민국’ 시대, 무단전재 및 재배포 금지>