“윈도우 부팅시마다 자동 실행되는 랜섬웨어 출현”
상태바
“윈도우 부팅시마다 자동 실행되는 랜섬웨어 출현”
  • 김선애 기자
  • 승인 2018.07.25 10:54
  • 댓글 0
이 기사를 공유합니다

체크멀 “‘킹 오로보로스’, 부팅 시 마다 자동 실행되도록 자가복제해 재감염…윈도우 로그온 화면에 메시지 표시”

체크멀(대표 김정훈)은 윈도우 로그온 화면에 메시지를 표시하는 ‘킹 오로보로스(King Ouroboros)’ 랜섬웨어가 국내에서 확인됐다고 25일 밝혔다. 이 랜섬웨어의 정확한 유포 방식은 알려지지 않았지만, 이번 달 해외에서 최초로 공개됐다.

​대부분의 랜섬웨어는 파일 암호화 후 메시지 창 또는 바탕화면 변경 등의 방식으로 금전을 요구하는데, 킹 오로보로스 랜섬웨어는 로그온 화면에 메시지를 나타낸다. 랜섬웨어가 실행될 경우 문서, 사진 등의 데이터 파일은 <원본 파일명>.king_ouroboros.<원본 확장명> 형태로 암호화가 이뤄지고, 암호화 완료 후 파일 복구가 불가능하도록 시스템 복원 기능을 무력화한다.

​모든 작업이 종료된 후 윈도우 재부팅을 위한 로그오프 안내 메시지가 나타나며 README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt 메시지 파일을 통해 비트코인 결제, 연락할 특정 이메일 주소 등 복구 방법을 안내한다. ​특히 부팅 시마다 자동 실행되도록 자가 복제하기 때문에 재감염 피해가 발생하지 않도록 각별한 주의가 필요하다.

​체크멀 관계자는 “앱체크는 킹 오로보로스 랜섬웨어의 파일 암호화 행위를 차단하고, 차단 이전에 암호화된 파일을 자동 복원할 수 있으며, 감염으로 생성된 악성 파일을 자동 삭제 처리한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.