하우리(대표 김희천)는 최근 한국을 노린 '리벤지' 랜섬웨어가 웹으로 유포돼 사용자 주의가 필요하다고 17일 밝혔다.
리벤지 랜섬웨어는 웹 브라우저와 웹 브라우저 플러그인 취약점을 공격하는 '리그(RIG)' 익스플로잇킷으로 유포된다. 사용자가 웹 서핑 중 자신도 모르게 감염돼 중요 파일을 암호화한다. 확장자명을 .REVENGE로 변경한다.
한글 오피스 문서 확장자인 .HWP 파일도 암호화한다. 관리자 권한이 필요한 드라이브 파일을 암호화하기 위해 '사용자계정컨트롤(UAC)'을 우회하는 기법을 사용한다. 윈도 기본 백신인 '윈도 디펜더' 악성코드 패턴을 업데이트할 수 있으니 복원해야 한다는 가짜 메시지 창을 띄어 클릭을 유도, 권한을 상승한다.
하우리 CERT실은 “최근 한국을 노린 랜섬웨어가 증가 한다”면서 “웹 브라우저 보안 업데이트를 최신으로 수행하고 보안이 강화된 웹 브라우저 사용해야 한다”고 말했다.
바이로봇 백신 제품에서는 'Trojan.Win32.Ransom' 등 진단명으로 탐지·치료한다.
박정은기자 jepark@etnews.com
