[IT비즈뉴스 김진수 기자] 스팸 봇넷을 활용해 불특정 다수에게 랜섬웨어가 포함된 이메일이 무작위로 유포되고 있어 국내 사용자들의 주의가 필요하다.

하우리에 따르면 이번에 발견된 랜섬웨어는 '글로브임포스터(GlobeImposter)'의 최신 변종 랜섬웨어로 11월 중순 무렵부터 유포됐으며 현재까지 록키(Locky), 재프(Jaff) 등의 랜섬웨어 유포에 활용된 '네커스(Necurs)' 봇넷을 이용, 유포되고 있다.

네커스 봇넷은 주로 악성파일이 첨부된 스팸메일을 불특정 다수에게 발송해 전파하는데 활용되는 봇넷이다. 이번에 발견된 글로브임포스터 랜섬웨어는 록키 랜섬웨어처럼 메일에 첨부된 'VBS' 스크립트를 실행하면 감염된다.

해당 랜섬웨어에 감염될 경우 사용자 PC에 존재하는 파일들을 암호화한 후 '..doc' 확장자를 붙이며 'Read__ME.html' 파일명의 랜섬노트를 생성해 사용자가 몸값 비용을 낼 수 있도록 안내한다.

특히 구글 페이지 번역 기능을 이용해 사용자 언어에 맞게 번역문이 제공되며 하나의 파일을 무료로 해독 제공해 피해자가 비트코인을 지급하도록 유도하고 있다.

글로브임포스터 랜섬웨어의 최초 몸값은 0.086비트코인(한화 약 110만원)이며 48시간이 지난 후에는 0.172비트코인(한화 약 220만원)으로 인상해 요구한다.

하우리 CERT실은 “이메일 첨부파일을 통한 랜섬웨어 유포 사례는 끊이질 않고 있다”며 “출처를 알 수 없는 이메일에 첨부된 파일은 절대 열람하지 말고 확인하는 습관을 지녀야 예방할 수 있다”고 강조했다.