파일 관리 프로그램 위장 ‘다르마 랜섬웨어’ 실행 파일(왼쪽)과 정상 파일(오른쪽) 비교 [사진제공=안랩]

[헤럴드경제=정태일 기자]안랩은 최근 파일 관리 유틸리티 프로그램을 사칭한 ‘다르마(Dharma) 랜섬웨어’ 유포사례를 발견해 사용자의 주의가 요구된다고 21일 밝혔다.

공격자는 파일 생성 날짜, 속성 등을 변경ㆍ관리하기 위한 특정 외산 프로그램(프리웨어)의 실행파일을 위장해 e-메일, 파일공유사이트(P2P) 등으로 ‘다르마 랜섬웨어’를 유포했다.

특히 이번 사례에서 공격자는 정상 설치파일과 매우 흡사하게 가짜 설치화면을 구성해 사용자가 주의를 기울이지 않으면 가짜 설치화면을 구분하기 어렵다는 것이 안랩 설명이다. 

파일 관리 프로그램 위장 ‘다르마 랜섬웨어’ 감염 시 나타나는 화면(랜섬 노트) [사진제공=안랩]

만약 사용자가 해당 가짜 설치파일을 실행하면 랜섬웨어에 즉시 감염돼 사용자 PC내 파일이 암호화 된다.

또 사용자 PC에 설정된 ‘윈도 시스템 복원 지점’을 삭제해 사용자의 시스템 복구를 방해한다. 이후 파일 복구 대가로 비트코인을 요구하는 화면(랜섬노트)이 나타난다. 공격자는 이 랜섬노트에 ‘언제 연락하는지에 따라 금액이 변한다’고 적어 가격 흥정도 시도하는 것으로 나타났다.

이에 안랩은 소프트웨어 다운로드 시 공식 홈페이지를 이용하고 출처가 불분명한 파일 실행을 자제해야 한다고 조언했다.

이와 함께 중요 파일을 별도 백업하고, V3 등 백신프로그램을 최신으로 업데이트해야 한다고 당부했다. 운영체제 및 응용프로그램, 인터넷 브라우저, 오피스 소프트웨어 등 프로그램의 최신 버전 유지 및 보안 패치 적용 등도 요구된다.박태환 안랩 ASEC대응팀 팀장은 “공격자들은 보안업데이트가 미비하거나 파일 다운로드 시 비정상 경로를 이용하는 등 부주의한 사용자를 노린다”고 강조했다.

killpass@heraldcorp.com