![[e커머스 & Now] 쿠팡, 물류산업대전 참가…“도서산간 무료 로켓배송 확대” 등](https://cdnimage.ebn.co.kr/news/news-p.v1.20240424.b12a0d1c3ed64f23b07a083a804a1f6b_T1.jpg)
![[사용기] 손목 부담 줄이고 흡입력 높였다…샤크, ‘클린센스 IQ+’](https://cdnimage.ebn.co.kr/news/news-p.v1.20240423.d55992e7055546379e640817a9e0c32f_T1.jpg)
- 텍스트 축소
- 확대
하우리 “부팅 막는 랜섬웨어 ‘골든아이’ 유포 주의”
- 송고 2016.12.09 15:42 | 수정 2016.12.09 15:41
- 김언한 기자 (unhankim@ebn.co.kr)
이메일 첨부파일 통해 MBR 영역 감염
재부팅 과정 시 '노란 해골' 모양 감염화면 등장
'골든아이' 랜섬웨어 감염 후 재부팅 시 출력되는 감염 화면.ⓒ하우리
정상적인 부팅이 되지 않게 하는 랜섬웨어가 유포되고 있어 주의가 요구된다.
하우리는 최근 이메일 첨부파일을 통해 마스터 부트 레코드(MBR) 영역을 감염시키는 랜섬웨어 골든아이(GoldenEye)가 유포되고 있다고 9일 밝혔다.
골든아이 랜섬웨어는 이메일의 첨부파일로 전달된 악성 문서파일의 매크로를 통해 감염된다. 감염 시 부팅과 관련된 MBR 영역의 코드를 변조해 정상적으로 부팅이 되지 않게 한다. 이후 악성코드에 의해 재부팅이 일어나며 재부팅 과정에서 노란 해골 모양의 감염 화면과 복호화 키 비용을 지불할 것을 요구하는 화면을 차례로 출력한다.
이번 랜섬웨어는 과거에 발견된 MBR 감염형 랜섬웨어인 ‘펫야(PETYA)’와 유사한 형태다. MBR 영역의 원본 부트 코드를 XOR 방식으로 인코딩해 MBR 영역의 특정 주소에 저장하므로 복구는 가능하다.
최민주 보안분석팀 연구원은 “이번에 발견된 골든아이 랜섬웨어는 기존의 MBR 감염형 랜섬웨어와 같은 형태”라며 “감염 시 정상적으로 부팅되지 않아 치료가 어려울 수 있어 사용자들의 주의가 필욜하다”고 말했다.
현재 하우리 바이로봇에서는 이 악성코드에 대해 ‘Trojan.Win32.Goldeneye’로 진단이 가능하다.
©(주) EBN 무단전재 및 재배포 금지
관련기사
전체 댓글 0
베스트 클릭
이슈종합
오피니언
시황
코스피
코스닥
환율
KOSPI 2,673.11 ▲ 50.09(1.91)
코인시세
인사/부고/동정
서울미디어홀딩스
패밀리미디어 실시간 뉴스
