RansSIRIA 랜섬웨어, 시리아 난민을 위한 기부금으로 랜섬 요구

RansSIRIA라 불리는 새로운 랜섬웨어가 발견되었습니다. 

해당 랜섬웨어는 사용자의 파일을 암호화하고 랜섬을 요구하는데, 랜섬 지불액이 시리아 난민을 구제하는 데 사용될 것이라고 안내합니다.

이 랜섬웨어는 WannaPeace 랜섬웨어의 변종으로, 브라질 사용자를 공격 대상으로 합니다.

MalwareHunterTeam에 따르면, 이 랜섬웨어가 실행되면 가짜 워드창이 나타나며 사용자의 파일을 암호화할 때 약간의 시간이 소요됩니다. 사용자 PC의 파일들을 암호화 한 후, 다음과 같은 창이 나타나는데 시리아 난민을 구제하기 위한 랜섬머니를 지불하라는 호소문의 내용입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ranssiria-ransomware-takes-advantage-of-the-syrian-refugee-crisis/>

 

이 랜섬노트는 포르투갈어로 작성되어 있는데, 해당 내용을 영어로 번역하면 다음과 같습니다. 

[포르투갈어 랜섬노트]

[영어로 번역한 랜섬노트]

 

랜섬웨어는 매우 다양한 파일을 열어서 보여주는데, 모두 전쟁을 통해 어린이들이 다치거나 죽게 되는 참혹한 장면들이 포함되어 있는 사진 또는 영상입니다. 랜섬웨어로 인한 피해는 물론 심각하지만, 해당 영상은 볼만한 가치가 있고, 메시지가 주는 영향력도 큽니다.

만약 사용자가 랜섬머니를 지불한다면, 해당 랜섬웨어는 파일들을 복호화 시켜준 다음 링크를 열어 시리아 난민에 대한 Worldvision의 기사를 보여줍니다.

시리아에서 끔찍한 전쟁이 벌어지고 있으며, 많은 시리아인들이 상상할 수 없는 고통을 받고 있다는 점은 누구도 부정할 수 없는 사실입니다. 

그러나, 이 랜섬웨어 개발자는 랜섬 수익금을 시리아 난민을 위해 사용하는 것이 아니며, 그저 많은 수익금을 벌기 위해 남의 고통을 이용하고 있습니다.

해당 랜섬웨어가 아직 개발중인지 혹은 이미 유포되고 있는지는 아직 확실하지 않지만, 구글 통계 자료를 보면 해당 링크가 3월 15일에 생성되었음을 알 수 있고, 이미 23명의 사용자가 방문한 것으로 확인되었습니다. 하지만 이 클릭수치가 피해자인지 공격자인지 보안 연구원인지 아직 정확하게 확인되지는 않았습니다. 

만약 RansSIRIA  랜섬웨어에 감염되어 파일이 암호화되었다면, 랜섬머니를 지불해서는 안됩니다. 

현재 보안연구원들은 해당 랜섬웨어에 대한 복호화 툴을 연구중에 있습니다. 

알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.RansSIRIA로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/ranssiria-ransomware-takes-advantage-of-the-syrian-refugee-crisis/