PC 바탕화면 파일만 암호화하는 랜섬웨어 ‘아이랜섬’ 감염 주의

사용자PC 바탕화면에 있는 모든 파일을 암호화하는 ‘아이랜섬(iRansom)’이 등장했다. 하우리(대표 김희천)는 사용자들의 각별한 주의가 요구된다고 11일 밝혔다.

‘아이랜섬’ 악성코드에 감염되면 PC 바탕화면에 있는 모든 파일들을 AES 대칭키 방식으로 암호화하고, 파일 확장자는 ‘.Locked’로 변경한다. 공격자는 48시간 이내에 파일 복호화 비용 0.15 비트코인, 우리 돈으로 약 12만3천원을 자신의 비트코인 지갑으로 보내줄 것을 요구한다.

‘아이랜섬’은 마이크로소프트(MS) 닷넷 프레임워크 환경에서 동작한다. 하드디스크 전체를 검색해 특정 확장자 파일을 암호화하는 것이 아닌  일반 사용자가 주로 사용하는 바탕화면에 존재하는 모든 파일(하위폴더 포함)들을 암호화한다.

이후에도 실시간으로 바탕화면을 감시해 ‘.Locked’ 확장자가 아닌 파일이 생성되면 암호화한다.

하우리 보안분석팀 김종기 연구원은 “이번에 발견된 ‘아이랜섬’은 암호화 대상 경로가 바탕화면만 해당하기 때문에 랜섬웨어 탐지방법 중 하나인 디코이(Decoy) 방식이 우회될 가능성이 있다”라며, “랜섬웨어에 감염되지 않도록 사용자들의 각별한 주의가 필요하다”고 말했다.

하우리 바이로봇에서는 ‘아이랜섬(iRansom)’을 ‘Trojan.Win32.Ransom’ 진단명으로 탐지·치료하고 있다. 랜섬웨어 정보 및 예방법은 하우리 랜섬웨어 정보센터(http://www.hauri.co.kr/Ransomware)에서 확인할 수 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network