[우리문화신문=김영조 기자]  최근 악성 온라인 광고를 통해 크라켄 크립터(Kraken Cryptor) 랜섬웨어 변종이 유포되고 있어 조심해야만 한다. 이번에 확인된 크라켄 크립터 v1.6은 감염되면 파일을 암호화하는 동시에 시스템에 남아있는 원본 파일의 흔적까지 지움으로써 파일 복구를 방해해 더 큰 피해가 우려된다.

 

 

북유럽 지역의 전설 속 괴물이자 우리에게는 영화 ‘캐리비안의 해적’에 등장하는 거대한 문어로 잘 알려진 ‘크라켄(Kraken)’의 이름을 딴 랜섬웨어 ‘크라켄 크립터’가 등장했다. 크라켄 크립터가 본격적으로 주목받기 시작한 것은 지난 8월로, 최신 공격 도구인 폴아웃 익스플로잇킷(Fallout Exploit Kit)을 이용한 1.2 버전을 유포하면서부터다.

 

폴아웃 익스플로잇킷은 온라인 광고를 악용하는 멀버타이징 기법을 통해 랜섬웨어 등을 유포하는 비교적 최신 공격 도구로, 올해 7월 말부터 8월 말 사이에 한국, 일본, 남유럽, 중동 등의 지역에서 갠드크랩(GandCrab) 랜섬웨어를 비롯해 스모크로더(SmokeLoader), 암호화폐 채굴(Miner) 악성코드 등을 유포한 것으로 알려져 있다.

 

특히 폴아웃 익스플로잇킷은 사용자 컴퓨터에 설치된 브라우저 등의 정보를 확인하여 특정 조건에 해당할 경우에만 멀버타이징 기법을 이용해 랜섬웨어 등 악성코드에 감염시키는 것이 특징이다. 그러나 지난 9월에는 특정 웹사이트를 공격해 정상 설치 파일을 악성 파일로 교체해 크라켄 크립터 렌섬웨어를 유포하기도 했다.

 

 

이번에 확인된 크라켄 크립터 v1.6은 토렌트(개인들 사이 파일 공유 프로그램)나 성인물 사이트 등에서 악성 광고 배너를 퍼트렸다. 곧 사용자가 해당 광고가 포함된 누리집에 접속하면 폴아웃 익스플로잇 킷을 통해 사용자 컴퓨터 환경을 확인한 뒤 미리 설정해둔 조건에 해당할 경우 사용자를 특정 페이지로 이동(redirection)시켜 랜섬웨어에 감염시킨다.

 

이렇게 사용자 컴퓨터에 유입된 크라켄 크립터 v1.6은 %Temp% 폴더 경로에 krakentemp0000.exe라는 이름의 파일을 만든 뒤 윈도우(Windows)의 사용자 계정 콘트롤(UAC: User Account Control) 우회를 시도한다. 랜섬웨어 실행하면 프로그램 실행 여부를 묻는 알림창이 생성되지 않도록 하기 위함이다.

 

 

크라켄 크립터가 특정 경로에 설치한 %Temp%krakentemp0000.exe 파일은 윈도우 운영체제의 정상 프로그램인 이벤트 뷰어 (eventvwr.exe)의 취약점을 이용해 사용자 계정 콘트롤 우회하고 악성코드를 실행한다. 그러나 윈도우 10부터는 해당 취약점에 대한 패치가 적용되었기 때문에 사용자 계정 콘트롤 우회가 발생하지 않는다.

 

크라켄 크립터가 실행되면 감염 컴퓨터의 파일을 암호화하는 한편, 정상적인 파일 삭제 프로그램을 내려받아 감염 시스템의 드라이브에 남아있는 원본 파일의 흔적까지 완전히 지운다. 파일 복구 프로그램을 이용해 원본 파일을 복구하는 것을 차단하기 위함이다.

 

크라켄 크립터는 [그림 3]과 같이 파일을 암호화할 때 랜섬한 5자리의 글자로 파일 확장자명을 변경하고, 암호화를 마치면 ‘# How to Decrypt Files-[암호화 확장명].html’라는 랜섬노트를 생성한다.

 

 

현재 V3 제품군에서는 크라켄 크립터 v1.6 관련 파일을 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 진단명>

Trojan/Win32.Ransom

Malware/Win32.Generic

 

크라켄 크립터 랜섬웨어에 감염되면 원본 파일의 흔적마저 사라지기 때문에 더욱 감염되기 전에 조심하는 것이 중요하다. 안전성이 확보되지 않은 누리집 이용을 자제하고 중요한 파일은 별도의 장치에 백업하는 것이 바람직하다. 또한 크라켄 크립터가 감염 전에 사용자 컴퓨터 환경을 확인한다는 점에서 사용 중인 운영체제와 주요 프로그램에 최신 보안 패치를 적용하는 것이 중요하다.