News
체크멀의 모든 소식을 빠르게 전해드립니다.
안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 러시아 외 16개국(독립 국가 연합)에는 무료로 파일을 복구해주는 Kraken Cryptor 랜섬웨어가 확인됐다고 18일 밝혔다.
해당 랜섬웨어는 버전 업데이트를 통해 변화를 주고 있는 서비스형(Ransomware as a Service) 방식으로 운영된다. 분석 방해 기능, 설치 환경 체크, 탐지 우회, 동작 방식 등 다양한 모듈이 적용되어 있으며, 설치 시 IP 및 키보드 언어를 확인해 특정 환경에서는 감염되지 않도록 제작되어 있다.
정상적으로 실행되어 파일 암호화가 진행될 경우 <숫자>-Lock.onion 형태로 파일명 및 확장명이 변경되며, # How to Decrypt Files.html (v1.5) 결제 안내 파일이 생성된다.
파일 암호화와 동시에 이벤트 뷰어 로그를 삭제하고, 파일 복구 무력화 행위를 시도한다. 모든 작업이 완료된 후 가짜 오류 메시지를 통해 5분 후에 자동으로 윈도우를 종료하며, 작업이 완료된 파일은 자동 삭제하여 흔적을 완전히 지운다.
메시지 파일에 나타나는 내용은 특정 국가에 속한 사용자가 Kraken Cryptor 랜섬웨어에 감염된 경우 비트코인 지불 없이 무료로 파일을 복구해준다는 내용이며, 대상 국가로는 러시아 외 16개국이 포함되어 있다.
체크멀 관계자는 “앱체크는 Kraken Cryptor 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”며 "지속적인 버전 업데이트를 통해 변화하는 Kraken Cryptor 랜섬웨어는 언제든지 암호화 대상 파일 확장명을 추가할 수 있고, 이벤트 뷰어 기록 및 자신의 파일을 삭제하는 점에서 원격제어와 같은 은밀한 접속을 통해 감염을 유발할 수 있으므로 더욱 각별한 주의가 필요하다"고 말했다.