페이스북 아이콘을 사용하는 직소 랜섬웨어 유포 주의

안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

페이스북 아이콘으로 가장한 ‘직소 랜섬웨어 변종’의 악성 파일이 발견되어 사용자들의 주의를 당부 드립니다.

[그림 1] Facebook 위장 아이콘

이번에 발견된 직소 랜섬웨어는 소름 돋는 단편 공포 영화 ‘러브 크래프트’의 ‘크툴루’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있습니다.

 [그림 2] 크툴루 이미지를 포함한 안내문

이번 랜섬웨어 변종은 크툴루 신화 이미지 노출을 제외하고 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났습니다. 

암호화가 완료되면 PC 화면에 창을 띄워 먼저 스페인어로 된 문장을 한 줄씩 순차적으로 보여준 후 영어로 된 문장을 한 줄씩 보여주면서 복호화를 위한 비트코인 결제를 하도록 협박합니다. 

소스코드 주석에서 스페인어로 작성된 정황을 통해 스페인 개발자가 직접 개발에 참여한 것으로 추정하고 있습니다.

 

[그림 3] 소스코드에 포함된 스페인어

또한 ‘Test’ 라는 문자열이 존재하는 것을 보아 이번 변종은 테스트용으로 제작한 샘플로 추정됩니다.

 

[그림 4] 소스코드에 포함된 테스트 문자열

직소 랜섬웨어의 소스 코드는 오픈 소스로서 모두에게 공개되어 있습니다. 따라서 단순 호기심이나 장난이라도 랜섬웨어를 제작하여 유포하는 것은 매우 위험한 행위이기 때문에 각별한 주의가 필요합니다.

알약에서는 Trojan.Ransom.Jigsaw 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비해 랜섬웨어 보안 모니터링을 강화하고 있습니다.

※ 참고글

한국인이 제작한 것으로 추정되는 ‘직소 랜섬웨어 변종’ 발견 ▶ 자세히 보기

한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’ 발견  ▶ 자세히 보기