사용자가 주로 사용하는 바탕화면 내 파일을 노린 랜섬웨어가 등장했다.
하우리(대표 김희천)는 사용자 PC 바탕화면의 모든 파일을 암호화하는 `아이랜섬(iRansom)`이 등장했다면서 주의를 당부했다.
아이랜섬은 PC 바탕화면에 있는 파일을 AES 대칭키 방식으로 암호화한다. 파일 확장자는 `.Locked`로 바꾼다. 48시간 이내에 파일 복호화 비용 0.15비트코인(약 12만3000원)을 보낼 것을 요구한다.
마이크로소프트(MS) 닷넷 프레임워크 환경에서 동작한다. 특정 확장자 파일을 암호화하는 게 아니라 바탕화면에 존재하는 모든 파일(하위폴더 포함)을 암호화한다. PC사용자가 자주 쓰는 파일을 바탕화면에 보관하는 습관을 노렸다. 감염 이후에도 실시간으로 바탕화면을 감시, 새로운 파일이 생성되면 암호화한다.
김종기 하우리 보안분석팀 연구원은 “아이랜섬은 암호화 대상 경로가 바탕화면만 해당하기 때문에 미끼 파일을 던져두는 `디코이` 방식 랜섬웨어 탐지방법을 우회할 가능성이 있다”면서 “감염되지 않도록 사용자 주의가 필요하다”고 말했다.
하우리 바이로봇은 현재 아이로봇을 `Trojan.Win32.Ransom` 진단명으로 탐지·치료한다.
박정은기자 jepark@etnews.com
