[디지털투데이 박근모 기자] 페트야 랜섬웨어 감염 시 나타나는 화면과 문구를 동일하게 사용해 사용자가 랜섬웨어에 감염된 것으로 착각하도록 유도하지만, 실제로는 PC에 저장된 파일을 암호화 하진 않는 새로운 유형의 악성파일이 발견됐다. 기존에 알려진 보안 위협을 모방한 공격을 통해 사용자들의 심리를 이용한 혹스(Hoax) 형태의 위협 요소로 작용될 우려가 있어 보인다.
12일 이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 새롭게 발견된 악성파일은 랜섬웨어에 감염된 것으로 착각할 수 있도록 정교하게 모방된 화면을 보여주지만, 실제로는 사용자 PC에 저장된 파일을 암호화하지는 않는다.
이번 악성파일이 실행되면 실제 페트야 랜섬웨어에 감염되었을 때와 흡사하게 사용자의 하드디스크(HDD)에 문제가 발생해 파일 시스템(NTFS)을 수정하고 있는 것처럼 움직이는 화면을 보여준다.
특히 파일 시스템 수정이 실제로 진행되는 것처럼 진행률이 0%부터 100%까지 증가하도록 보여지기 때문에 일반 사용자가 이 화면이 조작된 가짜라는 것을 알아채기는 매우 어렵다.
가짜 파일 시스템 검사가 100%까지 완료되면 이어서 실제 페트야 랜섬웨어 감염 시 나타나는 해골 모양의 이미지와 함께 사용자의 입력을 대기하는 화면이 나타난다.
이 화면에서 사용자가 키보드로 문자를 입력을 할 경우 페트야 랜섬웨어에 감염되었다는 가짜 안내 문구가 나타나며 특정 브라우저(토르)로만 접근할 수 있는 다크웹 주소로 사용자가 접속하도록 유도한다.
ESRC의 분석 결과 안내되는 다크웹 주소는 과거 페트야 랜섬웨어 공격에서 사용된 동일한 주소지만 현재 해당 주소로의 실제 접속은 이루어지지 않는 상태다.
김준섭 이스트시큐리티 부사장은 "이번에 발견된 이미테이션 유형의 악성파일은 실제 랜섬웨어처럼 암호화 기능을 수행하지는 않지만 사용자들의 심리를 이용한 혹스 형태의 위협 요소로 작용될 우려가 있다"며 "이번 사례처럼 마치 랜섬웨어 행동과 유사한 내용으로 위장하거나 모방된 유형이 지속적으로 보고되고 있는 만큼 주기적으로 백신 정밀 검사를 수행하고 사용자 스스로도 현혹되지 않도록 주의해야 한다"고 당부했다.
한편, 이스트시큐리티의 백신 '알약'에서는 해당 악성파일을 탐지명 'Trojan.Ransom.PetyaScam'으로 진단 후 치료하고 있다.
SNS 기사보내기
관련기사
- 감염 후 96시간 지나면 복구 불가능한 '매트릭스' 랜섬웨어 유포
- 페트야 랜섬웨어 제작한 해커, 몸값으로 25만달러 요구
- 랜섬웨어의 골치 아픈 통로 '이메일'...보안 방법은?
- 우크라이나 정부, 페트야 랜섬웨어 최초 감염업체 형사처벌 검토
- 우크라이나 마비시킨 페트야, 돈보다 특정 목적 의심...유사공격 대비
- 페트야 랜섬웨어, 국내 감염 사례 발견...백업·보안 업데이트 필수
- "페트야 랜섬웨어 공격 피해 주의"...OS 업데이트 및 공유폴더 해제 필수
- '야라 룰'을 활용한 페트야 랜섬웨어 대응법 공개
- 확산되는 '페트야' 랜섬웨어 감염 피할려면
- '페티야' 랜섬웨어, 또다시 유럽 강타...국내 유입 '초비상'