이번에 안랩이 발견한 변종은 랜섬웨어 기능 외에 디도스(DDoS) 공격 기능이 추가된 것이 특징이다. 특히 디도스 기능을 하는 악성코드는 파일형태로 만들어지는 일반적인 방식이 아니라, 변종 악성코드에 최초 감염된 상태에서 사용자의 인터넷 브라우저를 몰래 자동 실행해 디도스 공격 기능을 가진 코드를 삽입하는 인젝션 방식으로 동작한다. 악성코드가 파일형식으로 만들어지지 않아 악성파일을 잡아내는 백신 탐지기능도 우회 시도한다.

해당 악성코드는 국내 유명 IT커뮤니티에서 유포됐던 랜섬웨어의 일종인 ‘크립토락커 한글버전’의 기능을 동일하게 가지고 있으며, 감염 시 사용자의 파일을 암호화하고 금전을 요구한다. 여기에 ‘Nitol’이라는 디도스 공격 목적의 이미 알려진 악성코드를 삽입하는 방식으로 구동시킨다.

해당 기능이 활성화되면 특정 C&C 서버에 접속해 사용자의 PC정보를 유출할 뿐만 아니라, 공격자의 명령에 따라 디도스 공격을 수행한다.

유승열 안랩 분석팀장은 “최근 악성코드는 단순히 하나의 기능만을 수행하는 것이 아니라 여러 가지 기능이 복합된 형태로 진화하고 있다”며, “이를 방지하기 위해서는 개인 사용자의 보안수칙 실행과 온라인 서비스를 제공하고 있는 업체에서도 자신의 웹사이트가 유포지가 되지 않도록 각별히 주의해야 한다”고 말했다.

안랩의 PC용 백신 V3 제품군과 지능형 공격 대응 솔루션인 ‘안랩 MDS’는 해당 악성코드를 진단하고 있다.