VB스크립트 엔진 원격 코드 실행 취약점을 이용하는 ‘미노타우루스(Minotaur)’ 랜섬웨어가 유포되고 있다. 이 피해를 막기 위해 윈도우 사용자는 최신 보안 업데이트를 반드시 실행해야 한다.
체크멀(대표 김정훈)에 따르면 이 랜섬웨어는 갠드크랩 랜섬웨어 유포에 활용된 폴아웃 익스플로잇 키트(Fallout Exploit Kit)를 통해 감염된다. 이는 VB스크립트 엔진 원격 코드 실행 취약점인 CVE-2018-8174를 통해 전파되며, 최신 보안 업데이트를 하지 않은 인터넷 익스플로러(IE) 사용자가 웹 사이트를 방문할 경우 감염된다.
이 랜섬웨어는 파일 암호화 대상은 지정되어 있지 않고, autoexec.bat, config.sys, ntuser.dat, ntdata.dat 파일을 제외한 모든 파일을 암호화한다. 윈도우 운영체제가 설치되어 있는 드라이브의 경우 외장 디스크 및 파티션, 네트워크 드라이브에 존재하는 파일도 암호화한다.
파일 폴더 속성이 시스템(S), 숨김(H), 읽기 전용(R)으로 지정된 경우에는 파일 암호화에서 제외 처리가 되도록 설정돼 있다.
미노타우루스 랜섬웨어에 감염된 경우 파일 확작명은 .Lock 으로 변경되며, 암호화된 파일이 위치한 폴더마다 ‘How To Decrypt Files.txt’ 결제 안내 파일이 생성된다.
체크멀 관계자는 “앱체크는 미노타우루스 랜섬웨어를 정상적으로 차단하고, 암호화된 파일에 대한 자동 복원을 지원한다”며 “특히 윈도우 7 운영 체제 사용자는 취약점 공격에 상대적으로 약할 수 있어 지속적으로 최신 보안 업데이트를 적용해야 한다”고 당부했다.
