부팅 장애 일으키는 랜섬웨어 ‘골든아이’ 유포 주의

‘골든아이’ 랜섬웨어 감염 후 재부팅시 출력되는 감염 화면
‘골든아이’ 랜섬웨어 감염 후 재부팅시 출력되는 감염 화면

하우리(대표 김희천)는 최근 이메일의 첨부파일을 통해 마스터부트레코더(MBR) 영역을 감염시키는 랜섬웨어인 ‘골든아이(GoldenEye)’가 유포되고 있어 사용자 주의가 필요하다고 9일 밝혔다.

‘골든아이’ 랜섬웨어는 이메일의 첨부파일로 전달된 악성 문서파일의 매크로를 활용해 감염된다.  감염시 부팅과 관련된 MBR 영역의 코드를 변조해 정상적으로 부팅되지 않게 한다. 이후 악성코드에 의해 재부팅이 일어나고 재부팅 과정에서 노란 해골 모양의 감염 화면과 복호화 키 비용을 지불할 것을 요구하는 화면을 차례로 출력한다.

‘골든아이’ 랜섬웨어를 감염시키는 이메일 첨부파일로 전달된 악성 매크로가 포함된 엑셀 문서
‘골든아이’ 랜섬웨어를 감염시키는 이메일 첨부파일로 전달된 악성 매크로가 포함된 엑셀 문서

이번 랜섬웨어는 과거에 발견된 MBR 감염형 랜섬웨어인 ‘페트야(PETYA)’와 유사한 형태로, MBR 영역의 원본 부트 코드를 XOR 방식으로 인코딩해 MBR 영역의 특정 주소에 저장하므로 복구는 가능하다.

하우리 보안분석팀 최민주 연구원은 “이번에 발견된 ‘골든아이’ 랜섬웨어는 기존의 MBR 감염형 랜섬웨어와 같은 형태”라며, “감염시 정상적으로 부팅되지 않아 치료가 어려울 수 있어 사용자들의 주의가 필요하다”고 밝혔다.

현재 하우리 바이로봇에서는 해당 악성코드를 ‘Trojan.Win32.Goldeneye’로 진단하고 있다.

임승관 하우리 부장은 “분주한 연말연시 분위기를 이용하여 발신인이 불분명한 감사 인사나 행사·모임 등의 이메일이 발송되고 있다”라며 “기본 보안수칙을 지키며 백신의 최신 업데이트 유지해야 한다”고 당부했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다