문서파일까지 노린 '올크라이' 랜섬웨어…"변종 발생 가능성 有"

한글 문서 파일(.hwp), 실행파일(.exe)까지 감염시켜
현재 랜섬웨어와 국내 사이트 서버 접속 차단 상태
"또 다른 사이트 이용하는 변종 발생 가능성도"

올크라이 랜섬웨어 감염 안내창

[아시아경제 한진주 기자] 추석 연휴와 맞물려 국내에서 웹하드 설치 프로그램 등을 통해 '올크라이(All Cry)' 랜섬웨어가 확산되고 있다.

3일 보안업계에 따르면 지난달 26일부터 유포되기 시작한 올크라이 랜섬웨어가 추석 연휴 기간 국내 웹하드를 통해 확산되고 있어 주의가 필요하다.

올크라이 랜섬웨어는 PC의 주요 자료 파일들을 암호화하면서 확장자를 '.allcry'로 변경시킨다. 한글 문서 파일(.hwp)까지 암호화시켜 국내 이용자를 대상으로 삼은 것으로 파악되고 있다.

올크라이 랜섬웨어는 국내 웹하드 설치 프로그램 또는 잠재적으로 불필요한 프로그램들을 변조해 유포됐다. 특정 웹하드 프로그램 서비스를 이용하고 있거나, 불필요한 제휴·스폰서 프로그램이 설치된 경우 올크라이 랜섬웨어에 노출될 수 있다.

올크라이 랜섬웨어 감염화면

올크라이 랜섬웨어는 문서파일 뿐 아니라 확장자가 'exe'인 설치파일까지 암호화시켜 정상적으로 프로그램이 사용되지 못하게 만들기도 한다.

올크라이 랜섬웨어에 감염되면 바탕화면에 'readme.txt'라는 랜섬노트 파일을 생성한 후 영문으로 0.2 비트코인을 지불하라고 요구한다.

암호화된 파일을 실행하면 '올크라이 크립터(allcry crypter)'라는 이름을 가진 랜섬웨어 감염 사실을 알려주는 화면이 뜬다. 이 화면에서 영어나 중국어, 한국어를 선택할 수 있고 한국어를 '주소'가 '주수'로 잘못 표기된 메시지와 감염 식별용 하드웨어 코드(ID), 해커의 이메일 주소, 비트코인 지갑 주소 등을 안내한다.

이스트시큐리티 측은 "현재 인터넷진흥원이 랜섬웨어가 통신하는 국내 특정 웹사이트 서버 접속을 차단시켰고 감염되더라도 암호화 작동을 못하고 '응용 프로그램에서 처리되지 않은 예외가 발생했다'는 오류 안내창이 뜬다"고 설명했다.

올크라이 랜섬웨어 서버 차단 후 발생하는 오류 창

일부 백신들이 업데이트를 통해 올크라이 랜섬웨어를 탐지하고 있지만 변종이 등장할 가능성도 남아있다.

하우리 관계자는 "올크라이 랜섬웨어는 워너크라이 랜섬웨어처럼 특정 사이트에 접속하는 경우 사용자의 PC를 감염시키지만 해당 사이트에서 랜섬웨어와 통신하지 않도록 조치가 이뤄졌고 현재 올크라이 랜섬웨어는 해당 사이트에 접속하지 못해 더 이상 사용자의 PC를 감염시키지 않지만, 또 다른 사이트를 이용하는 변종이 발생할 수 있다"고 설명했다.

한진주 기자 truepearl@asiae.co.kr