메일에 포함된 URL로 퍼지고 있는 러시아 랜섬웨어 주의

메일에 포함된 URL로 퍼지고 있는 러시아 랜섬웨어 주의

지난 주말부터 메일에 포함된 URL을 통해 러시아 랜섬웨어가 유포되고 있어 사용자들의 주의가 필요합니다.

해당 랜섬웨어는 보통 RAR로 압축되어 있고 스크린세이버로 위장하고 있는 경우가 많으며 일단 사용자가 압축을 풀어 파일을 실행하게 되면 화면에 moshiax@aol.com라는 이메일주소를 포함한 러시아어를 띄우고 감염된 시스템에 있는 폴더나 파일을 암호화합니다.

이 러시아산 랜섬웨어의 경우 해외에서는 2015년 초부터 발견되기 시작했으나 국내에서 해당 랜섬웨어가 포함된 URL이 확인된 것은 얼마전부터입니다.

해당 랜섬웨어의 경우 Drive by Download형태의 공격은 아닙니다. 사용자가 URL을 클릭한 후 RAR 압축파일을 다운로드받아 압축을 해제한 후, 내부에 있는 파일을 실행시켜야 하는 복잡한 단계를 거치기 때문에 피해상황이 크지 않을 것으로 예상됩니다.

다만, 일단 감염될 경우 랜섬웨어 특성상 심각한 피해를 입을 수 있으므로 주의가 필요한 상황이며 랜섬웨어의 공격에 대비하여 주요파일의 경우 사전에 백업을 해두는 것이 가장 중요합니다.

알약에서는 현재까지 발견된 해당 랜섬웨어에 대해 Trojan.Ransom.Filecoder로 탐지하고 있으며, 추가적으로 발견되는 URL을 확인하고 추가DB업데이트를 진행중에 있습니다.