하우리, 한국 노린 리벤지 랜섬웨어 유포 경고

하우리(대표 김희천)는 최근 한국을 노린 '리벤지' 랜섬웨어가 웹으로 유포돼 사용자 주의가 필요하다고 17일 밝혔다.

리벤지 랜섬웨어는 웹 브라우저와 웹 브라우저 플러그인 취약점을 공격하는 '리그(RIG)' 익스플로잇킷으로 유포된다. 사용자가 웹 서핑 중 자신도 모르게 감염돼 중요 파일을 암호화한다. 확장자명을 .REVENGE로 변경한다.

리벤지 랜섬웨어 감염노트(자료:하우리)
리벤지 랜섬웨어 감염노트(자료:하우리)

한글 오피스 문서 확장자인 .HWP 파일도 암호화한다. 관리자 권한이 필요한 드라이브 파일을 암호화하기 위해 '사용자계정컨트롤(UAC)'을 우회하는 기법을 사용한다. 윈도 기본 백신인 '윈도 디펜더' 악성코드 패턴을 업데이트할 수 있으니 복원해야 한다는 가짜 메시지 창을 띄어 클릭을 유도, 권한을 상승한다.

하우리 CERT실은 “최근 한국을 노린 랜섬웨어가 증가 한다”면서 “웹 브라우저 보안 업데이트를 최신으로 수행하고 보안이 강화된 웹 브라우저 사용해야 한다”고 말했다.

바이로봇 백신 제품에서는 'Trojan.Win32.Ransom' 등 진단명으로 탐지·치료한다.

박정은기자 jepark@etnews.com