한국어 메시지 표시하는 '소디노키비' 랜섬웨어 변종

글자 작게 글자 크게 인쇄하기
소디노키비 랜섬웨어가 최근 한국 메시지를 추가로 포함한 변종 공격을 일삼는다.
<소디노키비 랜섬웨어가 최근 한국 메시지를 추가로 포함한 변종 공격을 일삼는다.>

갠드크랩 랜섬웨어 이후 국내서 가장 많은 피해를 발생시키는 '소디노키비(Sodinokibi)'랜섬웨어가 최근 한국어 메시지를 추가로 포함한 변종을 유포하기 시작했다.

체크멀에 따르면 소디노키비 랜섬웨어가 8월 말부터 영어 메시지 외 한국어, 중국어 메시지를 추가해 변종 공격을 일삼는다고 설명했다.

이번에 확인된 소디노키비 랜섬웨어는 실핼 후 윈도 파워쉘 기능을 통해 파일 복구를 할 수 없도록 명령어 실행한다.

이후 파일 암호화가 진행되면 '5~10자리 Random 확장명' 형태로 변경된다. 각 암호화 대상 폴더마다 '5~10자리 Random 확장명>-readme.txt' 결제 안내 파일을 생성한다.

메시지 파일을 확인하면 영어, 한국어, 중국어 순으로 암호화 사실을 안내한다. 토르(Tor) 웹 브라우저를 통해 특정 사이트 접속, 금전을 요구한다.

〃체크멀 관계자는 “영어 외 다른 언어를 추가한 이유는 그만큼 소디노키비 랜섬웨어 감염자 비율이 높다는 것을 의미한다”면서 “피해자가 돈을 지불하고 복구를 하는 경향이 다른 국가에 비해 많은 것도 이유가 될 것”이라고 설명했다.

체크멀 앱체크(AppCheck) 안티랜섬웨어는 다양한 형태로 유포되는 소디노키비 랜섬웨어 변종에 대해 파일 암호화가 진행될 경우 차단, 자동 복원을 지원한다.

랜섬웨어 감염을 피하기 위해〃 △윈도 업데이트를 통해 제공되는 최신 보안 업데이트 설치 △어도비 플레시 플레이어 최신 버전 업데이트 △메일 첨부 파일 실행 주의 등을 당부했다.

정영일기자 jung01@etnews.com