WannaCry 랜섬웨어보다 더 강력한 UIWIX 랜섬웨어

WannaCry 랜섬웨어보다 더 강력한 UIWIX 랜섬웨어

최근 이슈가 되었던 WannaCry 랜섬웨어의 충격이 채 가시기도 전에 두번째 랜섬웨어의 공격이 발생했습니다. 

UIWIX랜섬웨어는 이번에 새로 등장한 랜섬웨어로, WannaCry와 동일한 취약점을 악용합니다. 하지만 WannaCry와 같은 kill switch가 존재하지 않기 때문에, UIWIX 랜섬웨어가 전파되는 것을 막을 방법이 없습니다. 

일부 보안전문가들은 UIWIX 랜섬웨어는 SMB웜이 아니며, 배후에서 해커조직이 수동으로 해당 취약점을 악용하여 유포하는 방식으로 WannaCry와 같은 강력한 전파능력은 없을 것이라고 추측하고 있습니다. 

UIWIX 랜섬웨어는 하드디스크에 존재하는 모든 문서를 스캔합니다. 문서, 이미지파일 등과 같은 90여종의 확장자를 암호화할 수 있으며, 파일들을 암호화한 후 확장자를 "UIWIX"로 변경합니다. UIWIX 랜섬웨어가 파일들을 암호화한 후에도 파일 아이콘을 정상적으로 볼 수 있지만 이를 실행할 수는 없습니다. 

UIWIX 랜섬웨어는 복호화를 위한 댓가로 0.12비트코인을 요구합니다.

<이미지 출처 : http://www.virusresearch.org/remove-uiwix-file-virus-restore-files/>

UIWIX 랜섬웨어는 "Shadow Brokers" 해커조직이 공개한 EternalBlue 취약점인 Windows 시스템의 SMBv1과 SMBv2 취약점을 악용하고 있습니다. 따라서 이에 대비하기 위해서는 반드시 Windows 보안 업데이트를 진행해야 합니다. 또한 원격터미널과 스팸메일을 통해 유포된다는 의견도 있기 때문에 각별히 조심해야 합니다. 

다행인 것은, UIWIX 랜섬웨어는 윈도우 OS와 관련된 파일들을 건드리지 않기 때문에 윈도우 시점복구를 통해 컴퓨터를 복구할 수 있습니다. 하지만 UIWIX 복호화 툴은 아직 개발되지 않았습니다. 

출처 :

http://www.2-spyware.com/remove-uiwix-ransomware-virus.html

https://www.theregister.co.uk/2017/05/17/uiwix_ransomware_damp_squib/

http://www.virusresearch.org/remove-uiwix-file-virus-restore-files/