[랜섬웨어 주의] 내 파일 보는데 돈을 내라고?

[랜섬웨어 주의] 내 파일 보는데 돈을 내라고?!

동영상 플레이어로 위장한 랜섬웨어 출현 “내 파일을 보는데 돈을 내라고?!” 최근 일부 PC 사용자의 동영상 파일들을 감춘 뒤 이를 보기 위해 결제를 유도하는 랜섬웨어가 출현, 사용자들의 각별한 주의가 요구되고 있다. 안철수연구소 ASEC 최신호에 따르면 적절한 사용자 동의 절차 없이 사용자 PC에 설치되어 PC의 동영상 파일을 한곳의 폴더에 수집한 후 그 폴더를 루트킷(RootKit) 기능으로 감춰 사용자들이 접근할 수 없도록 한 뒤 이 동영상을 보기 위해서 결제를 유도하는 새로운 랜섬웨어가 출현했다고 발표했다. 랜섬웨어란 ransom과 ware의 합성어로, 인질을 잡아 몸값을 요구하는 소프트웨어란 의미이다. 즉, 사용자의 컴퓨터에 데이터를 암호화하여 데이터의 내용을 확인하기 위해서 비밀번호를 요구하는데 그 비밀번호를 얻기 위해서 일정 금액을 요구하는 형태의 악성코드를 지칭하는 용어이다. 이번에 문제가 되고 있는 랜섬웨어는 최근 동영상 플레이어로 사용자를 속여 설치되었던 UCCCPlay에 의해서 설치된 것으로 알려지고 있다. 이 랜섬웨어는 설치된 컴퓨터에 모든 동영상 파일 및 국내 대표적인 P2P 프로그램의 다운로드 경로의 파일들을 검색하고 루트킷 기법으로 숨겨진 폴더에 복사 후 원본은 삭제한다. 해당 폴더는 루트킷에 의해 접근이 불가능 하고 랜섬웨어 프로그램에 의해서만 접근이 가능하다. 동영상을 보기 위해서 랜섬웨어를 실행하면 아래와 같이 본인 인증을 받아야 한다는 메시지를 출력한다. [그림 1] 자신의 동영상을 보기 위해 본인 인증을 요구하는 화면 하지만 실제로 랜섬웨어가 출력한 화면에서 ‘본인 인증 하기’ 버튼을 클릭하면 결제를 위해 아래 그림과 같은 화면으로 이동한다. 이 페이지는 본인 인증이 아니라 휴대전화를 통한 소액 결제창으로 자신의 파일을 보기 위해 결국 휴대전화 결제를 한 셈이다. 특히, 사용자 약관을 매우 작은 크기로 표시하고 있어 일반적으로 사용자 동의를 받기 위한 적절한 방법이라고 보기 힘들다. [그림 2] 자신의 동영상을 보기 위해 결제를 요구하는 화면 현재 안철수연구소에서는 V3 IS 2007 Platinum, 빛자루, 보안클리닉 스파이제로를 통해 이 랜섬웨어의 진단 치료 기능을 지원하고 있다. 이 랜섬웨어를 삭제하면 '복원폴더'라는 별도의 폴더가 생성되며 그곳에 모든 동영상이 복사된다. 이 랜섬웨어는 ActiveX로 배포 및 설치가 되므로 ActiveX 실행 경고창이 떴을 때 주의해야 한다. 또한 인터넷 익스플로러의 보안 설정을 반드시 보통 이상으로 설정해야만 자동 설치되는 것을 막을 수 있다. @ [안철수연구소]