이번엔 '올크라이' 랜섬웨어 비상...실행파일까지 암호화

글자 작게 글자 크게 인쇄하기

5월 워너크라이처럼 확산 속도 빨라...인터넷진흥원 유포 경로 파악 중

올크라이(AllCry)라는 이름의 신종 랜섬웨어가 국내에 전파돼 각별한 주의가 요구된다.

그림과 문서 파일은 물론이고 실행파일(EXE)까지 암호화한다. 단순히 데이터 파일만 인질로 잡는 기존 랜섬웨어와 달리 시스템 파괴 목적을 추가한 것으로 보인다.

이스트시큐리티 시큐리티대응센터(ESRC)는 올크라이 랜섬웨어 긴급 공지를 올렸다. 한국인터넷진흥원은 올크라이 유포 경로를 파악 중이라고 밝혔다.

5월 연휴 직전 발생한 워너크라이에 이어 추석 연휴에 올크라이 랜섬웨어가 나타났다. ⓒ게티이미지뱅크
<5월 연휴 직전 발생한 워너크라이에 이어 추석 연휴에 올크라이 랜섬웨어가 나타났다. ⓒ게티이미지뱅크>

올크라이는 29일 저녁 이후 특정 PUP(Potentially Unwanted Program)을 통해 전파된 것으로 보인다. 올크라이 감염 사례가 국내 주요 인터넷 게시판에 속속 증가했다. 지난 5월 세계를 강타한 워너크라이처럼 확산 속도가 빠르다. 워너크라이와 달리 올크라이는 국내 감염 사례만 보고된다.

PUP는 사용자가 잠재적으로 원치 않는 프로그램이다. 불필요한 프로그램으로도 불린다. 미디어 플레이어, PC 최적화 프로그램, PC 클리너, 개인정보보호 프로그램 등 무료 유틸리티 프로그램의 '제휴 프로그램, '스폰서 프로그램' 등 명목으로 PC에 설치된다. PUP는 웹 서핑에 지속해서 배너 광고를 노출하거나 각종 툴바를 설치한다.

올크라이 랜섬웨어 감염 화면(자료:이스트시큐리티 블로그)
<올크라이 랜섬웨어 감염 화면(자료:이스트시큐리티 블로그)>

올크라이 랜섬웨어 대응이 쉽지 않은 이유다. 사용자는 어떤 PUP가 PC에 설치됐는지 인지하기 어렵다. 공격자는 이미 PUP가 설치된 PC에 랜섬웨어를 업데이트 할 수 있다.

올크라이는 파일을 인질로 잡고 댓가로 0.2비트코인을 요구한다. 7일 이내 몸 값을 지불하지 않으면 해독을 지원하지 않는다고 협박한다.

안티바이러스 솔루션을 최신으로 업데이트 하고 웹하드 등 PUP가 설치되는 곳 방문을 피한다. 이스트시큐리티 알약은 'Trojan.Ransom.Allcry' 탐지명으로 긴급 추가돼 탐지 중이다.

올크라이 랜섬노트(자료:이스트시큐리티 블로그)
<올크라이 랜섬노트(자료:이스트시큐리티 블로그)>

김인순 보안 전문기자 insoon@etnews.com