GpCode 트로이목마의 변종 및 MBR을 감염시키는 트로이목마

[보안뉴스 김정완] 보안 컨텐츠 관리 솔루션 업계를 선도하는 카스퍼스키 랩은 악성 프로그램에 감염된 컴퓨터의 데이터를 손상시키는 매우 위험한 신종 랜섬웨어(Ransomware) 바이러스 두 가지에 대한 긴급경보를 발령했다.

첫 번째 악성 프로그램은 악명 높은 GpCode 트로이목마의 새로운 변종이며, Trojan-Ransom.Win32.GpCode.ax로 명명되어 지난 11월 29일 카스퍼스키 랩의 안티 바이러스 데이터베이스에 추가 됐다.

이 악성 프로그램은 Adobe Reader, Java, Quicktime Player, Adobe Flash의 취약점을 이용해 감염된 웹사이트를 통해 확산되고 있는 것으로 확인됐다. 일단 이 악성 프로그램은 감염이 되면 doc, docx, txt, pdf, xls, jpg, mp3, zip, avi, mdb, rar, psd 등의 다양한 확장자를 가진 파일들을 사용자의 동의 없이 암호화(RSA-1024와 AES-256 알고리즘 사용) 한 후 데이터 복구 소프트웨어로 복구하지 못하도록 원본 데이터를 덮어쓰기한다.

현재 카스퍼스키 랩에서는 신종 Gpcode를 정밀 분석하고 있으며, 감염된 컴퓨터의 데이터를 복원할 수 있는 방법이 있는지 조사하고 있다.

카스퍼스키 랩에서 이번 주 초에 발견한 두 번째 신종 랜덤웨어 바이러스는 컴퓨터의 MBR을 감염시키는 트로이목마다. 드로퍼 역할을 하는 Trojan-Ransom.Win32.Seftad.a와 MBR을 감염시키는 Trojan-Ransom.Boot.Seftad 모두 카스퍼스키 랩의 안티 바이러스 데이터베이스에 추가됐다. 일단 감염이 되면, 컴퓨터의 부트 영역을 덮어쓰기 하며, 컴퓨터 사용자에게 MBR복구를 위한 암호를 얻기 위해 결제하도록 요구한다. 만일 사용자가 잘못된 암호를 세 번 입력하면 감염 컴퓨터를 강제로 재부팅하고 결제를 계속 요구한다.

최신 업데이트를 적용한 카스퍼스키 랩 제품 사용자들은 이 신종 랜섬웨어 바이러스로부터 안전하다. 또한 카스퍼스키 랩은 관련 취약점을 해결하기 위해 컴퓨터에 설치된 타사 프로그램들도 정기적인 업데이트할 것을 권장하고 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>