이스트시큐리티 "한국서 제작 추정 ‘오픈소스 기반 랜섬웨어’ 출현"
2017-11-13 16:21
이스트시큐리티 시큐리티대응센터(ESRC)는 새롭게 발견된 랜섬웨어가 해외에서 교육용으로 공개된 오픈소스 랜섬웨어인 ‘히든 티어(Hidden Tear)’를 활용해 닷넷 기반으로 제작된 것으로 분석했다.
제작자는 이 랜섬웨어를 ‘블랙리스트CP(BlackListCP)’로 명명하고 있다. 금전 갈취를 목적으로 하는 기존의 랜섬웨어와 달리 비트코인 등을 요구하지는 않지만 문서, 사진 등 PC에 저장된 파일을 암호화시키는 악성 동작은 정상적으로 수행한다.
해당 랜섬웨어는 사용자의 착각을 불러일으키기 위해 PDF 문서 아이콘으로 위장하고 있으나 실제로는 윈도 OS 실행 파일인 ‘EXE’ 확장자를 가지고 있으며, 사용자가 아이콘을 실행하면 DOC, PPTX 등 흔히 사용되는 158종의 확장자를 가진 파일을 암호화시킨다.
또한 암호화가 완료되면 바탕화면 경로에 ‘notice.txt’라는 이름의 랜섬노트를 통해 한국어와 영문으로 감염 사실을 안내한다. 이와 함께 제작자의 계정으로 추정되는 'SkyDragon7845' 라는 아이디와 특정 웹사이트 주소(URL)를 보여준다.
이 주소에 접속하면 유튜브(Youtube), 트위치(Twitch) 등 랜섬웨어 제작자가 운영하는 것으로 보이는 스트리밍 동영상 서비스에 접속할 수 있는 링크(Link)가 나타난다. 해당 동영상 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 'WannaCry', 'Petya’ 등 다른 랜섬웨어의 감염 동영상도 공개돼 있는 것을 확인할 수 있다.
현재 이스트시큐리티 시큐리티대응센터는 한국인터넷진흥원(KISA)과 관련 정보를 신속히 공유하고 피해 확산 방지를 위한 긴밀한 협력을 진행하고 있다.
새롭게 발견된 랜섬웨어는 통합 백신 알약(ALYac)에서 탐지명 ‘Trojan.Ransom.HiddenTear’으로 진단 후 치료 가능하며, 보다 자세한 내용은 이스트시큐리티 알약 블로그 포스팅에서 확인할 수 있다.