안랩이 윈도 업데이트를 위장한 신종 랜섬웨어를 발견, 이용자 주의를 당부했다.
공격자는 △5926.tmp.exe △e291.tmp.exe △a717.tmp.exe 등 파일명으로 임시파일(tmp파일)을 사칭한다. 임시파일 확장자명(.tmp)이 포함됐지만 실제로는 악성코드가 설치되는 실행파일(.exe)이다. 무심코 파일을 실행하면 특정 URL에 접속, 랜섬웨어 설치 파일을 다운로드한다.
랜섬웨어가 이용자 PC 파일을 암호화하는 동안에는 가짜 윈도 업데이트 화면과 함께 '업데이트를 준비하고 있으니 컴퓨터를 종료하지 말라'는 영문 메시지가 나타난다.
이 랜섬웨어에 감염되면 PC 내 파일 확장자가 '.rezm'으로 변경되며 암호화된다. 복호화 대가로 금전을 요구하는 랜섬노트도 생성된다.
랜섬웨어 피해를 예방하려면 △알려진 파일 형식 확장명 숨기기 설정 해제 △안정성이 확인되지 않은 웹사이트 방문 자제 △출처가 불분명한 메일 첨부파일 실행 자제 △운용체계(OS)와 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용 프로그램(어도비, 자바 등), 오피스 소프트웨어(SW) 등 최신 보안 패치 적용 △최신 버전 백신 사용 △중요 데이터는 별도 보관 장치에 백업 등 보안 기본 수칙을 지켜야 한다.
이보원 안랩 분석팀 주임 연구원은 “공격자는 성공률을 높이기 위해 다양한 방법을 시도하기 때문에 보안 수칙을 생활화해야 한다”고 말했다.
오다인기자 ohdain@etnews.com