하우리 측에 의하면 이번에 발견된 크립토럭은 사용자 PC의 파일들을 암호화하고 파일 확장자를 ‘.(8자리 임의문자)_luck’으로 변경한다. 공격자는 72시간 이내에 파일 복호화 비용 2.1 비트코인(한화 약 175만 원)을 요구하며, 72시간이 지날 경우 개인키를 삭제해 복구가 불가능하다고 협박한다.

크립토럭은 악성코드를 실행하기 위해 정상 프로그램의 DLL 하이재킹 취약점을 사용했다. 특히, 구글 제품군 업데이트 파일(GoogleUpdate.exe)의 DLL 하이재킹 취약점을 이용, 랜섬웨어 DLL 파일(goopdate.dll)을 로드하고 랜섬웨어를 실행시킨다. 이는 행위기반의 보안 프로그램의 악성코드 탐지를 우회하기 위한 것으로 추정된다.

윤용석 하우리 보안연구팀 연구원은 “크립토럭 랜섬웨어는 ‘리그(RIG) 익스플로잇 킷’을 통해 웹상에서 유포되고 있어 많은 감염자가 발생할 수 있을 것”이라고 우려를 표명했다.