안랩, 파일 관리 프로그램 위장 '다르마 랜섬웨어' 주의 당부

파일 관리용 특정 외산 프로그램 실행 파일 위장해 유포

파일 관리 프로그램 위장 ‘다르마 랜섬웨어’ 실행 파일(왼쪽)과 정상 파일(오른쪽)/사진=안랩<br><br>

안랩은 최근 파일 관리 유틸리티 프로그램을 사칭한 ‘다르마(Dharma) 랜섬웨어’ 유포사례를 발견했다고 21일 밝혔다.

공격자는 파일 생성 날짜와 속성 등을 변경하기 위한 외산 프로그램(프리웨어)의 실행파일을 위장해 이메일이나 P2P(파일공유사이트) 등으로 다르마 랜섬웨어를 유포했다. 특히 이번 사례에서 공격자는 정상 설치파일과 유사한 가짜 설치화면을 구성했기 때문에 사용자가 가짜 설치 화면을 구분하기 어렵다고 안랩은 설명했다.

만약 사용자가 해당 가짜 설치파일을 실행하면 랜섬웨어에 즉시 감염되고 사용자 PC내 파일이 암호화된다. 또 사용자 PC에 설정된 '윈도우 시스템 복원 지점'을 삭제해 사용자의 시스템 복구를 방해한다. 이후 파일 복구 대가로 비트코인을 요구하는 화면이 나타난다. 공격자는 '언제 연락하는 지에 따라 금액이 변한다'는 메시지를 적어 가격 흥정까지 시도한다.

랜섬웨어 피해를 최소화하기 위해선 △SW 다운로드 시 공식 홈페이지 이용 △출처가 불분명한 파일 실행 자제 △중요 파일 별도 백업 △V3 등 백신프로그램 최신 업데이트 및 실시간 감시 실행 △OS 및 응용프로그램, 인터넷 브라우저, 오피스 SW 등 프로그램의 최신 버전 유지 등의 기본 보안수칙을 지켜야 한다고 안랩을 조언했다.

박태환 안랩 ASEC대응팀장은 "공격자들은 보안업데이트가 미비하거나 파일 다운로드 시 비정상 경로를 이용하는 등 부주의한 사용자를 노린다"며 "순간의 부주의가 큰 피해로 이어질 수 있기 때문에 평소 기본 보안수칙을 실천하는 ‘보안 생활화’가 필수"라고 말했다.