주로 윈도우 디바이스를 목표로 파일을 잠그고 데이터를 복사하는 ‘CryptXXX’ 랜섬웨어는 비트코인을 탈취한다. ‘CryptXXX’ 랜섬웨어는 감염된 첨부 파일이나 악성 웹사이트 링크가 포함된 스팸 메일을 통해 인터넷 사용자에게 유포되며, ‘Angler 익스플로잇 키트(EK)’라는 악성 도구를 호스팅하는 웹 페이지를 통해서도 유포된다.

‘CryptXXX’가 실행되면 감염된 시스템의 파일이 암호화되고, 파일 이름에 ‘.crypt’ 확장명이 추가된다. 피해자에게는 강력한 암호화 알고리즘인 ‘RSA-4096’을 통해 파일이 암호화됐다는 알림이 나타나고, 데이터를 복구하려면 비트코인을 대가로 지불하라는 요구가 전달된다.

현재 활동 중인 랜섬웨어군은 50종 이상으로, 이런 공격이나 피해에 대응하기 위한 단일 범용 알고리즘은 하나도 없는 상태다. 카스퍼스키랩 측은 ‘CryptXXX’의 경우, 암호화 알고리즘 ‘RSA-4096’에 대한 범죄자들의 주장이 허풍에 불과했다고 전했다.

카스퍼스키랩의 툴을 이용해 감염된 파일을 복호화하려면 ‘CryptXXX’로 감염된 파일 중 적어도 하나 이상은 암호화되지 않은 원본 버전이 있어야 한다. 해당 툴은 현재 카스퍼스키랩의 기술 지원 웹사이트에서 다운로드할 수 있다. 암호화된 파일을 복구하는 복호화 툴은 효도르 스니친(Fedor Sinitsyn) 카스퍼스키랩 선임 악성코드 분석가가 개발했다.

카스퍼스키랩 솔루션 사용자라면 좀 더 효율적으로 랜섬웨어에 대응할 수 있다. 카스퍼스키랩 솔루션의 자동 익스플로잇 방지 기술을 통해 초기 단계에서 ‘CryptXXX’가 사용하는 ‘Angler 익스플로잇 키트’를 탐지할 수 있기 때문이다. 카스퍼스키랩의 제품은 ‘HEUR:Exploit.SWF.Agent.gen’, ‘PDM:Exploit.Win32.Generic’, ‘HEUR:Exploit.Script.Generic’ 등과 같은 파일을 통해 해당 익스플로잇 키트를 탐지한다.

카스퍼스키랩은 감염 예방과 피해 경감을 위한 조치 사항도 안내했다. 이는 ▲정기적 데이터 백업 ▲OS, 브라우저 중요 업데이트 모두 설치 ▲보안 솔루션 설치 등으로 요약된다. 중요 업데이트를 설치함으로써 ‘CryptXXX’의 소프트웨어 취약점 활용을 막고, ‘카스퍼스키 인터넷 시큐리티’의 랜섬웨어 다계층 보호 및 ‘카스퍼스키 토털 시큐리티’의 자동 백업 기능 등으로 전반적인 보호 체계를 보완할 수 있다.