한국어 메시지 표시하는 '소디노키비' 랜섬웨어 변종

소디노키비 랜섬웨어가 최근 한국 메시지를 추가로 포함한 변종 공격을 일삼는다.
소디노키비 랜섬웨어가 최근 한국 메시지를 추가로 포함한 변종 공격을 일삼는다.

갠드크랩 랜섬웨어 이후 국내서 가장 많은 피해를 발생시키는 '소디노키비(Sodinokibi)'랜섬웨어가 최근 한국어 메시지를 추가로 포함한 변종을 유포하기 시작했다.

체크멀에 따르면 소디노키비 랜섬웨어가 8월 말부터 영어 메시지 외 한국어, 중국어 메시지를 추가해 변종 공격을 일삼는다고 설명했다.

이번에 확인된 소디노키비 랜섬웨어는 실핼 후 윈도 파워쉘 기능을 통해 파일 복구를 할 수 없도록 명령어 실행한다.

이후 파일 암호화가 진행되면 '5~10자리 Random 확장명' 형태로 변경된다. 각 암호화 대상 폴더마다 '5~10자리 Random 확장명>-readme.txt' 결제 안내 파일을 생성한다.

메시지 파일을 확인하면 영어, 한국어, 중국어 순으로 암호화 사실을 안내한다. 토르(Tor) 웹 브라우저를 통해 특정 사이트 접속, 금전을 요구한다.

〃체크멀 관계자는 “영어 외 다른 언어를 추가한 이유는 그만큼 소디노키비 랜섬웨어 감염자 비율이 높다는 것을 의미한다”면서 “피해자가 돈을 지불하고 복구를 하는 경향이 다른 국가에 비해 많은 것도 이유가 될 것”이라고 설명했다.

체크멀 앱체크(AppCheck) 안티랜섬웨어는 다양한 형태로 유포되는 소디노키비 랜섬웨어 변종에 대해 파일 암호화가 진행될 경우 차단, 자동 복원을 지원한다.

랜섬웨어 감염을 피하기 위해〃 △윈도 업데이트를 통해 제공되는 최신 보안 업데이트 설치 △어도비 플레시 플레이어 최신 버전 업데이트 △메일 첨부 파일 실행 주의 등을 당부했다.

정영일기자 jung01@etnews.com