안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 Stop 랜섬웨어 변종이 유포되고 있어 주의가 필요하다고 14일 밝혔다.



최초 생성된 Stop 랜섬웨어 파일은 동일한 파일명으로 자가 복제하여 실행된다. "Time Trigger Task" 작업 스케줄러 값을 등록하여 5분 단위로 파일을 자동 실행하도록 구성되어 있다. 암호화된 파일의 확장명은 .DATAWAIT으로 변경되며, 암호화 대상 폴더마다 결제 안내 파일이 생성된다.

해당 랜섬웨어는 랜섬웨어 파일을 실행한 후 추가적인 악성 파일도 실행한다.

* 윈도우 파워셸(Windows PowerShell) 기능을 통해 윈도우 디펜더(Windows Defender) 백신 프로그램의 실시간 보호 기능을 비활성화 한다. 또한 DB 파일을 삭제하여 탐지하지 못하게 만든다.

* 호스트 파일을 변경해 마이크로소프트, 국내외 보안 업체, 유명 파일 다운로드 사이트 등에 대한 접속을 차단한다.

* 팀뷰어(TeamViewer) 원격 제어툴을 설치해 윈도우 부팅 시마다 자동 실행되도록 구성한다. 특히 Stop 랜섬웨어는 "intersys32.com" 서버로 감염된 PC의 시스템 정보를 지속적으로 전송해 해당 팀뷰어를 통해 차후 파일 복구 신청 시 직접 접속할 목적으로 설치한 것으로 의심된다.

* 사용자를 속이기 위해 우측 하단에 윈도우 업데이트 메시지 창을 통해 업데이트가 천천히 진행되는 것처럼 가짜 메시지 창을 생성한다.

이번에 확인된 Stop 랜섬웨어의 경우 파일 암호화뿐만 아니라 추가적인 파일을 실행해 악의적인 기능 수행, 가짜 Windows Update 메시지 창 생성 및 보안상 위험을 줄 수 있는 팀뷰어를 설치한다. 특히 호스트(Hosts) 파일보안 사이트 접속을 차단하기 때문에 감염되지 않도록 각별한 주의가 필요하다.
 

체크멀 관계자는 “앱체크는 Stop 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”며 “취약점을 통해 감염이 이루어졌을 가능성이 높으므로 Windows, 웹 브라우저, Adobe Flash Player 프로그램에 대한 최신 보안 업데이트를 적용하시기 바란다”고 전했다.