윈도우 7 이상만 공격하는 ‘ZCRYPT’ 랜섬웨어가 발견됐다. 이 랜섬웨어는 웹사이트, 이메일이 아니라 USB 플래시 드라이브에 복사본을 만들어 확산되며, 윈도우XP 등 구버전에서는 동작하지 않거나 금액을 요구하는 팝업창을 띄우지 못한다.
한국트렌드마이크로에 따르면 ‘ZCRYPT’는 윈도우 7 이상 최신 시스템만 지원하고 있으며, 1주일 내에 돈을 지불하지 않으면 모든 파일을 삭제하겠다고 협박한다. 몸값은 1.2비트코인(약 500달러)이며, 4일이 지나면 5비트코인(약 2200달러)로 뛰어오른다.
윈도우XP 등 구 버전에서는 파일을 암호화하지 않거나 돈을 요구하는 팝업창을 띄우지 않는다. 트렌드마이크로가 분석한 결과, 해당 악성코드는 구 버전 윈도우에 존재하지 않는 기능을 호출하기 때문에 구 버전에서 실행될 시 오류가 발생하는 것으로 나타났다.
또한 ZCRYPT는 USB 플래시 드라이브에 복사본을 만들어 확산을 시도한다. 크립토 랜섬웨어의 경우 대부분 악성 광고 또는 스팸 메일을 통해 확산되기 때문에 이동식 드라이브로 확산을 시도하는 행위는 크립토 랜섬웨어는 흔하지 않은 시도로 주목된다.
C&C 서버의 도메인 명은 poiuytrewq.ml으로, 이것은 QWERTY 키보드의 제일 상단 qwertyuiopdml를 거꾸로 적은 것이다. 도메인의 .ml은 2013년 4월부터 무료로 제공됐다. 도메인 등록이 등록자의 신원을 노출하지 않기 때문에 익명으로 공격을 진행할 수 있었으며, 현재 해당 도메인은 ‘취소됨’, ‘중지됨’, ‘거부됨’, ‘예약됨’으로 태그 돼 있다.
한편 트렌드마이크로는 랜섬웨어 예방·차단을 위해 이메일 보안 솔루션 ‘딥 디스커버리 이메일 인스펙터’, 엔드포인트 통합 보안 솔루션 ‘오피스스캔’ ‘맥시멈 시큐리티’를 제공하고 있으며, 차세대 IPS 티핑포인트를 통해 네트워크로 유입되는 공격을 차단한다.
