모든 확장자를 가리지 않고 암호화하는 다르마 랜섬웨어 출현
복호화 비용으로 초기에 2비트코인 요구, 시간 지날수록 비용 올라가

[보안뉴스 권 준 기자] 최근 모든 확장자를 가리지 않고 암호화하는 랜섬웨어 ‘다르마(Dharma)’가 이메일 및 웹사이트를 통해 유포되고 있어 국내 사용자들의 각별한 주의가 요구되고 있다.

이번에 발견된 ‘다르마(Dharma)’ 랜섬웨어는 이전에 유행했던 ‘크라이시스(Crysis)’ 랜섬웨어의 변종으로 감염되면 사용자 PC의 파일들을 확장자를 구분하지 않고 암호화해 파일의 확장자를 ‘.[worm01@india.com].dharma’로 변경한다.



‘다르마’가 이전에 발견된 랜섬웨어들과 다른 점은 ‘.exe’,‘.dll’과 같은 실행파일 확장자들까지도 가리지 않고 모두 암호화한다는 점이다. 단, 컴퓨터가 실행되는데 꼭 필요한 파일들을 예외 처리하고 암호화하게 된다. 예외로 처리되는 곳은 ‘C:\’, ‘C:\Windows’에 있는 파일들이다.

암호화 후엔 원본파일을 삭제하게 되는데 일반 삭제의 경우에는 복구프로그램으로 쉽게 복구가 가능하지만 다르마 랜섬웨어와 같은 경우에는 파일을 암호화 한 후 원본파일 내용을 0으로 채운 후에 삭제하게 되어 복구 프로그램으로 복구하는 것이 제한되는 것으로 분석됐다.


또한, 다른 랜섬웨어들과는 달리 복호화에 지불해야할 비트코인을 바로 알려주지는 않으며, 복호화를 원할 경우 ‘worm01@india.com’으로 이메일을 보내도록 요구한다. 직접 이메일을 통해 랜섬웨어 제작자에 확인한 결과 복호화 지불 비용은 초기에는 2비트코인을, 시간이 지날수록 비트코인을 추가로 요구하는 것으로 드러났다.

‘다르마’ 랜섬웨어를 발견한 순천향대학교 융합서비스보안학과 문병우 대학원생은 “해당 랜섬웨어는 주로 이메일 첨부파일, 보안이 취약한 웹페이지 등을 통하여 유포된다”며, “이메일의 첨부파일을 열람할 때 주의하고, 인터넷을 사용할 때도 보안이 강화된 웹브라우저를 사용할 것을 권장한다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>