기존 페트야(Petya) 랜섬웨어 문구와 이미지 등을 흉내 낸 모방 유형
유명 랜섬웨어를 모방함으로써 사용자 속여…. 금전 갈취 등 다양한 범죄 행위 우려

유명 랜섬웨어를 흉내 내 감염된 것처럼 속이는 악성코드가 등장했다.

이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 새롭게 발견된 악성파일은 전 세계적으로 널리 알려진 페트야(Petya) 랜섬웨어 감염 화면과 동일한 화면을 보여줘 대부분의 사용자가 마치 실제로 랜섬웨어에 감염된 것으로 착각하게 만드는 것으로 알려졌다.

이번 악성파일이 실행되면 실제 페트야 랜섬웨어에 감염되었을 때와 흡사하게 사용자의 하드디스크(HDD)에 문제가 발생해 파일 시스템(NTFS)을 수정하고 있는 것처럼 움직이는 화면을 보여주기 때문에 일반 사용자가 이 화면이 조작된 가짜라는 것을 알아채기는 매우 어렵다.

모든 과정이 완료되고 사용자가 키 입력을 시도하면 페트야 랜섬웨어에 감염되었다는 가짜 안내 문구가 나타나며, 특정 브라우저(토르, Tor)로만 접근할 수 있는 다크웹 주소로 사용자가 접속하도록 유도한다.

다행스러운 점은 ESRC의 분석 결과, 안내되는 다크웹 주소는 과거 페트야 랜섬웨어 공격에서 사용된 것과 동일한 주소로 현재는 실제 접속이 이루어지지 않는 상태라는 점이다.

이번 랜섬웨어 모방 악성파일은 실제로 파일을 암호화 하지는 않지만, 유명 랜섬웨어의 감염 화면을 모방해 보여줌으로써 사용자를 속이고 있다는 점에서 추가적인 금전 갈취 등의 범죄로 이어질 가능성이 높아 우려되고 있다.

이 외에도 지속해서 다양한 모방형 악성파일 변종이 보고되고 있는 만큼 PC방은 최신 백신 프로그램의 실시간 감시 기능을 적극 활용하고 주기적으로 검사 및 업데이트해야 감염을 예방할 수 있을 것으로 보인다.