카스퍼스키 랩, 신종 바이러스 '랜섬웨어' 확산 긴급 경보 발령

보안 컨텐츠 관리 솔루션 업체인 카스퍼스키 랩(www.kaspersky.co.kr)은 악성 프로그램에 감염된 컴퓨터의 데이터를 손상시키는 매우 위험한 신종 바이러스인 '랜섬웨어(Ransomware)'에 대한 긴급경보를 발령했다.

첫 번째 악성 프로그램은 악명 높은 'GpCode 트로이목마'의 새로운 변종이며, 'Trojan-Ransom.Win32.GpCode.ax'로 명명되어, 지난 11월 29일 카스퍼스키 랩의 안티 바이러스 데이터베이스에 추가 됐다.

이 악성 프로그램은 Adobe Reader, Java, Quicktime Player, Adobe Flash의 취약점을 이용하여 감염된 웹사이트를 통해 확산되고 있다. 일단 감염이 되면 doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd 등의 확장자 파일들을 사용자의 동의 없이 암호화(RSA-1024와 AES-256 알고리즘 사용)한 후 데이터 복구 소프트웨어로도 복구하지 못하도록 원본 데이터를 덮어쓰기한다.

현재 카스퍼스키 랩에서는 신종 Gpcode를 정밀 분석하고 있으며, 감염된 컴퓨터의 데이터를 복원할 수 있는 방법이 있는지 조사 중이다.

두 번째 신종 랜덤웨어 바이러스는 컴퓨터의 MBR(마스터 부르 레코드, 운영체제 부팅에 필요한 하드디스크 특수 영역)을 감염시키는 트로이목마다. 드로퍼 역할을 하는 'Trojan-Ransom.Win32.Seftad.a'와 MBR을 감염시키는 'Trojan- Ransom.Boot.Seftad' 모두 카스퍼스키 랩의 안티 바이러스 데이터베이스에 추가되었습니다. 이 바이러스에 감염 되면, 컴퓨터의 부트 영역을 덮어쓰기 하며, 사용자에게 MBR 복구용 암호를 얻기 위해 결제하도록 유도한다. 만일 사용자가 잘못된 암호를 세 번 입력하면 컴퓨터를 강제로 재부팅하고 지속적으로 결제를 계속 요구하게 된다.

카스퍼스키 랩 관계자는 중요한 데이터를 손상시킬 수 있는 치명적인 바이러스가 확산되고 있는 만큼 사용자들의 관심과 주의가 필요하며, 사용 중인 백신 프로그램을 업데이트하고 바이러스 검사를 수행할 것을 권장하고 있다.

글 / IT동아 이문규 (munch@itdonga.com)