‘뽐뿌’ 커뮤니티서 ‘크립트XXX’ 한글버전 랜섬웨어 유포 ‘비상’

지난 3일부터 시작된 연휴기간 동안 온라인 커뮤니티 ‘뽐뿌’를 통해 랜섬웨어가 대거 유포된 것으로 나타났다.

200만명의 회원을 보유한 ‘뽐뿌’에서 유포된 랜섬웨어는 최근 등장한 ‘크립트XXX(CryptXXX)’ 한글버전의 변종 랜섬웨어다. 뽐뿌에 포함된 배너광고를 통해 앵글러 익스플로잇 킷으로 플래시 취약점 등을 이용해 유포된 것으로 분석됐다.

뽐뿌 게시판에는 7일 오전 9시 39분 현재까지도 “PC로 접속만 했는데도 랜섬웨어에 걸렸다”, “랜섬웨어 때문에 당분간 뽐뿌 접속은 자제해야겠다”는 글이 올라왔다.

이번에 유포된 ‘크립트XXX’는 ‘크립토락커’, ‘라다만트’에 이어 세 번째로 한글을 지원하는 랜섬웨어다. 앵글러 익스플로잇 킷을 통해 최근 국내 사이트에서 유포되기 시작했다.

이 랜섬웨어에 감염되면 PC의 주요 파일들이 암호화되고 확장자는 ‘.cryp1’로 변경된다. 이후 재부팅을 유도한 다음 비트코인 입금 안내창을 띄운다. 안내하는 URL로 접속해 한글 옵션을 선택하면 피해자들이 이해하기 쉽도록 한글로 번역된 안내문을 나타낸다.

한글 크립트XXX최상명 하우리 CERT 실장은 “3일부터 7일까지 뽐뿌에서 ‘크립트XXX’ 랜섬웨어가 유포돼 연휴기간 동안 평상시보다 4배 이상의 랜섬웨어 감염자들이 발생했다”며 “2015년 4월 ‘클리앙’에 이어 국내 단일규모 최다 랜섬웨어 경유지로 기록될 것”이라고 말했다.

이어 최 실장은 “뽐뿌에 게시된 광고 플랫폼을 통해 랜섬웨어가 유포된만큼 현재로서는 해당 광고업체가 해결하거나 광고를 내리지 않는 한 특별한 해결책은 없다”며 “사용자들은 접속하기 전에 반드시 취약점을 패치해야 한다”고 강조했다.

하우리는 자사 보안 제품인 바이로봇에서 ‘크립트XXX’ 랜섬웨어를 ‘Trojan.Win32.CryptXXX’ 진단명으로 탐지·치료하고 있다.

하우리는 랜섬웨어 정보센터(http://www.hauri.co.kr/Ransomware)에서 ‘크립트XXX’ 랜섬웨어 감염 예방 프로그램을 배포하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다