4월 25일 처음 발견이 되었고 현재 급속도로 확산이 되고 있는 새로운 신종 랜섬웨어가 발견이 되었다. 소디노키비(sodinokibi) 랜섬웨어의 가장 큰 특징은 바탕화면이 파랗게 변하고 익히 알고 있듯 확장자가 랜덤한 문자로 변한다. [변경된 확장자]-readme.txt 메모장 (랜섬노트)가 생성이 되며, 'Hello, dear friend' 또는 'Welcome. Again' 의 문구로 시작을 한다. 흔히 알고 있는 갠드크랩(gandcrab) 랜섬웨어와 유사하다.

랜섬웨어복구 전문업체 '이든데이터' 관계자에 따르면 "이번 소디노키비 랜섬웨어는 얼마전 패치된 웹로직 제로데이 취약점(CVE-2019-2725)을 통해 전파가 되었으며, 얼마후 같은 취약점을 이용해 갠드크랩이 전파 된 것을 보면 아마 동일 조직이 아닐까 의심된다. 바로 이 취약점에 대해 긴급 패치를 진행하였지만 아직 적용을 하지 않은 웹로직 서버를 사용하는 기업의 경우 피해를 보는 경우가 많다."고 한다.

소디노키비 랜섬웨어(sodinokibi Ransomware)의 경우 이전 겐드크랩이나 메그니베르 같이 이메일 첨부파일 형식으로 감염을 유도하고 있다. 첨부파일로 온 압축파일을 풀어 내용을 확인하는 순간 감염이 시작되는 것이다. 이메일 첨부파일을 확인할 때에는 항상 2번 이상 확인하는 주의가 필요하다.

랜섬웨어복구 전문 기업 '이든데이터'에서는 '불특정 다수를 목표로 하는 갠드크랩(gandcrab), 매그니베르(magniber), 선(SEON), 남포휴(nampohyu)와 소디노키비(sodinokibi)가 있고, 주로 기업 서버를 공격하는 .clop, .ciop, .phobos, .bip, .locked 등의 확장자로 바뀌는 랜섬웨어가 있다.

특히 서버에 연결된 여러 대의 컴퓨터에 일반적인 부팅오류 메시지와 감염 메시지를 동시에 보여주는 맘바 또는 배드래빗과 유사한 형태의 렌섬웨어 도 있다. 메시지에는 특정 이메일 주소가 있는데 여길 통해 키 (패스워드)를 받아야만 부팅이 가능해지는데 단계가 복잡하다. 자칫 일반 부팅오류 메시지 때문에 일반적인 복구 방법을 사용한다면 암호화된 내용이 변경이 되어 랜섬웨어복호화 자체가 안될 수 있다"고 전했다.

데이터복구 전문 '이든데이터' 에서는 다양한 랜섬웨어 종류 확인 및 혹시 남아 있을지 모르는 실행 프로그램 제거 및 랜썸웨어 감염을 막기 위한 백신, 안티랜섬웨어 제품 설치, 백업 서버 구축 및 관리를 전문적으로 처리하고 있다.

또한 컴퓨터 하드디스크, SSD복구, 외장하드, USB, SD카드 등 메모리 복원, 아이폰, 갤럭시 사진, 동영상, 문자, 연락처, 통화내역 복구 및 카카오톡 대화내용 복원을 제공하며 디지털 포렌식 법원, 경찰 제출용 증거감정서 작성도 가능하다.

강남 데이터복구센터를 중심으로 송파, 노원, 마포 등 서울 전지역과 의정부, 수원, 용인, 인천 등 수도권 전역에 대한 무료 출장 및 점검 서비스를 제공하고 그 외 지역에 대해서는 택배 접수 및 원격지원 서비스를 제공하고 있다.

자세한 내용은 '이든데이터' 고객센터 및 홈페이지에서 확인 할 수 있다.

[팸타임스=권지혜 기자]