검색 본문 바로가기 회사정보 바로가기

> 산업 >

신종 랜섬웨어 '소디노키비' 주의보...각종 사칭메일로 유포

파일 암호화 하고 복호화 대가로 암호화폐 요구
PC 복원하지 못하도록 볼륨 쉐도우 복사본까지 삭제

(서울=뉴스1) 남도영 기자 | 2019-05-28 12:04 송고
소디노키비 랜섬웨어에 감염된 PC 배경화면© 뉴스1

데이터를 인질 삼아 금전을 요구하는 신종 '랜섬웨어'가 이메일과 웹사이트 등으로 대량 유포되고 있어 이용자들의 주의가 요구된다.

28일 한국인터넷진흥원(KISA)과 보안업계에 따르면 최근 기승을 부린 '갠드크랩' 랜섬웨어와 유사한 방식으로 '소디노키비'(Sodinokibi) 랜섬웨어가 유포되고 있는 정황이 확인됐다.

소디노키비 랜섬웨어는 한글로 작성된 메일 내부에 정상파일로 위장한 악성파일을 첨부하고 이를 열어보도록 유도하는 방식으로 유포되고 있다. 악성메일 유형은 입사지원서, 견적의뢰서, 헌법재판소나 경찰의 출석 요구 등으로 다양하다. 이밖에 워드프레스로 작성된 홈페이지를 탈취해 검색포털에 노출시킨 뒤 링크를 클릭해 다운로드 파일을 실행하도록 유도한 사례도 발견됐다.

이 랜섬웨어는 사용자 PC 파일을 암호화 한 후 복호화를 위한 가상화폐를 요구한다. 암호화 된 파일은 확장자가 변경되며, 암호화 된 파일이 들어있는 폴더에는 복호화 방법이 적힌 '랜섬노트'가 생성된다. 또 'Hello dear friend!', "Welcome. Again" 등의 문구가 적힌 파란색 화면으로 배경화면이 변경된다.

특히 이 랜섬웨어는 백업된 데이터로 PC를 복구를 할 수 없도록 '볼륨 쉐도우' 복사본을 삭제하는 게 특징이다. 또 로컬 시스템만 감염시키는 것이 아니라 로컬과 연결된 네트워크 드라이브에 대해서도 암호화를 시도한다. 이 때문에 연결된 시스템이 백업을 위한 폴더나 서버일 경우 더 큰 피해로 이어질 수 있다.

전문가들은 랜섬웨어를 예방하기 위해선 중요 파일은 주기적으로 백업하고 운영체제(OS)와 소프트웨어를 최신 버전으로 유지하는 것이 중요하다고 조언했다.

이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 "갠드크랩을 유포하던 사이버 범죄 그룹이 이전 유포하던 방식을 활용해 신종 소디노키비 랜섬웨어를 국내에 대량으로 유포하고 있다"며 "출처가 불분명한 사용자에게서 온 메일에 포함된 첨부파일 다운로드를 지양하고 파일을 실행하기 전에 백신 프로그램을 이용해 악성여부를 확인해야 한다"고 당부했다.


hyun@