감염 시 사용자에게 정상 문서파일 출력, 뒤로는 각종 파일 암호화

▲ 문서 아이콘으로 위장한 바로가기 파일 형태의 신종 랜섬웨어(자료제공: 하우리)
[아이티데일리] 하우리(대표 김희천)는 윈도우 바로가기 형태로 유포되는 신종 랜섬웨어가 발견돼 PC 이용자들의 각별한 주의가 요구된다고 20일 밝혔다.

윈도우 바로가기 파일은 특정 경로의 프로그램을 빠르게 실행할 수 있도록 도와주는 파일이다. 하지만 최근에는 악성코드를 실행하는 용도로도 악용되기 시작했으며, 이번 랜섬웨어 유포에도 사용된 것으로 확인됐다.

하우리가 확인한 랜섬웨어는 문서 아이콘으로 위장한 윈도우 바로가기(lnk) 파일로 스팸 메일에 첨부돼 유포되며, 클릭 시 사용자 PC에 악성 자바스크립트(JS) 파일을 생성한다. 이 악성 자바스크립트는 네트워크를 통해 워드파일(docx)과 랜섬웨어(exe)를 다운로드해 실행하고, 사용자에게 정상 문서파일을 보여줌으로써 감염 사실을 숨긴다.

또한, 악성 자바스크립트 파일이 실행되면 사용자 PC의 사진 및 그림 파일, 각종 오피스 문서 등이 암호화되며, 이에 대해 몸값을 요구한다. 암호화된 파일은 확장자 뒤에 ‘.vault’가 추가되며 더 이상 파일을 사용할 수 없게 된다.

하우리 보안대응팀 이경민 주임연구원은 “기존에 유포되던 랜섬웨어는 악성 스크립트(.js, .vbs, .wsf 등) 파일이나 악성 매크로가 삽입된 문서파일을 사용했지만, 이번에는 윈도우 바로가기 파일을 이용했다”며, “랜섬웨어를 유포하는 공격자들이 계속해서 다양한 방법을 사용하며 진화하고 있어 지속적인 관찰이 필요하다”고 밝혔다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지