비트코인을 몸값으로 요구하는 랜섬웨어 주의보

[카페관리자]

최근 비트코인이 가상화폐로 자리잡으면서 이를 악용한 사례도 늘고 있다. 특히 사이버 상에서도 현금대신 비트코인을 요구하는 랜섬웨어(Ransomware)가 기승을 부려 각별한 주의가 요구된다.

랜섬웨어(Ransomware)란, Ransom(몸값)과Software(소프트웨어)가 합쳐져 생성된 단어로 악성코드가PC에 있는 중요한 자료를 암호화하여 사용하지 못하게 한다. 이는 사용자의 심리를 노린 것으로, 만약 암호화된 파일을 복구하려면 피해자에게 돈을 지불하도록 강요하는 악성코드이다.

금전 취득이 목적인 만큼 랜섬웨어의종류도 다양하다. 스케어웨어, 락스크린 바이러스(lock-screen virus), 네스티 스터프(really nasty stuff), 비트크립트(BitCrpyt), 크립토락커 등이 있다. 국내에는 스케어웨어, 크립토락커, 비트크립트가 주로 발견되고 있다.    

한번 쯤은 경험해봤을 스케어웨어(scareware)는 랜섬웨어의 일종이지만 비교적 어렵지 않게 제거할 수 있다. 스케어웨어는 악성코드에 감염됐다는 창을 띄워 치료가 필요하다는 이유로 결제를 요구하며, ‘가짜 안티바이러스’로도 불린다. 제거가 쉽다고 해서 가볍게 보면 안 된다. 스케어웨어 변종 악성코드도 있으니 주의해야 한다.

락스크린 바이러스, 네스티 스터프, 크립토락커 등의 랜섬웨어에 감염되면PC를 사용하지 못할 가능성이 더 높다. ‘내 파일이나 문서를 잠가놓고 돈을 내놓지 않으면 열어 볼 수 없다고 협박하는 최악의 악성코드 중 하나다. 걸렸다 하면 물질적인 피해와 정신적인 고통이 뒤따르므로 조심 또 조심해야 한다. 

최근에는 암호화된 파일을 복구하는 대가로 비트코인을 요구하는 비트크립트에 감염된 사례도 발생하고 있다. 비트크립트의 정확한 감염경로는 밝혀지지 않았으나 스팸 메일의 첨부 파일 또는 해킹된 웹사이트 접속 시PC의 취약점을 통해 감염됐을 가능성이 높다. 비트크립트에 대해 자세히 알아보자.

일단 비트크립트에 감염되면 [그림1]과 같이 파일 확장자를 가진 파일을 암호화시키며 이 과정에서 기존의 정상파일은 삭제된다.

[그림 1] 암호화 대상 파일 확장자

[그림 2] 비트크립트에 의해 삭제된 정상 파일

비트크립트에 의해 암호화된 파일은 [그림 3]에서 보는 것처럼 [파일명 .BitCrypt] 형식을 갖는다.

[그림 3] 암호화된 파일들 

[그림 1]에 기술된 파일 확장자를 가진 파일들에 대한 암호화 작업이 완료되면 BitCrypt.txt를 생성하여 [그림 3]처럼 화면에 보여주게 된다.

[그림 4] BitCrypt.txt에 담긴 내용

[그림 4]에서 BitCrypt.txt는 암호화된 파일들을 복구할 수 있는 가이드임을 알 수 있다. 복구시 필요한 비트크립트 ID와 복구 툴을 받기 위한 주소 등이 포함되어 있다.

[그림 5]복구 툴을 받을 수 있는 사이트

[그림 5]에 명시된 사이트에 접속하면 비트크립트가 PC에 생성한 BitCrypt.txt에 포함된 비트크립트 ID를 입력하도록 되어 있다. 입력 후 send 버튼을 누르면 복구 툴을 다운로드 하는데 필요한 절차가 담긴 페이지를 출력한다.
해당 페이지에 접속하면 아래 그림처럼 다운로드에 필요한 정보를 입력하는 창이 뜬다.

[그림 6]복구 툴 다운로드에 필요한 정보를 입력하는 필드

[그림 6]처럼 비트크립트가 어떻게 암호화된 파일을 복구하는지 보여주는 유투브 동영상 링크를 포함하고 있다.

[그림 6]비트크립트 시연 동영상 링크

안랩의 V3 제품에서는 Troyan/Win32.Yakes(2014.02.12.03) 으로 진단하고 치료했다. 
 

  발췌 " 안랩"