골든아이 랜섬웨어는 이메일 첨부파일로 전달된 악성 문서파일의 매크로를 통해 감염된다. 감염 시 부팅과 관련된 MBR 영역의 코드를 변조하고 악성코드에 의해 재부팅이 일어나며, 재부팅 과정에서 노란 해골 모양의 감염 화면을 출력한다.

하우리 측은 골든아이 랜섬웨어가 과거에 발견된 MBR 감염형 랜섬웨어 ‘펫야(PETYA)’와 유사한 형태라며, MBR 영역의 원본 부트 코드를 XOR 방식으로 인코딩해 MBR 영역의 특정 주소에 저장하므로 복구는 가능하다고 밝혔다.

최민주 하우리 보안분석팀 연구원은 “이번에 발견된 골든아이 랜섬웨어는 기존의 MBR 감염형 랜섬웨어와 같은 형태”라며, “감염 시 정상적으로 부팅되지 않아 치료가 어려울 수 있어 사용자들의 주의를 요한다”라고 전했다.

임승관 하우리 부장은 “연말연시를 맞아 발신인이 불분명한 감사말·행사·모임 등의 이메일이 발송되고 있다”며 “기본적인 보안수칙을 지키며 백신의 최신 업데이트를 유지해야 한다”고 강조했다.