[Update] 새로운 'WannaRen' 랜섬웨어 주의!

WannaRen新型病毒勒索0.05个比特币，已有大量网友中招

새로운 랜섬웨어인 'WannaRen' 랜섬웨어가 유포되고 있습니다. 

이 랜섬웨어는 윈도우 시스템의 대부분 파일들을 암호화 하며, 암호화 후 확장자를 .WannaRen으로 변경합니다. 

<이미지 출처 : https://www.freebuf.com/news/232638.html>

암호화 후에는 0.05비트코인을 랜섬머니로 요구하며, 사용자 PC암호화 후 팝업창을 띄워 랜섬노트와 함께 랜섬머니 지불방식을 알려줍니다. 

랜섬노트는 중국어 번체자로 작성되어 있으며, 이메일 주소는 WannaRenemal@goat.si 입니다. 

<이미지 출처 : https://www.freebuf.com/news/232638.html>

공격자는 랜섬머니 지불기한을 정해놓았는데, "만약 3일 내 랜섬머니를 지불하지 않으면 랜섬머니는 2배로 증가하며, 일주일 내 랜섬머니를 지불하지 않으면 파일은 영원히 복구할 수 없다"고 사용자를 협박합니다. 

현재까지 각종 커뮤니티 사용자들의 의견을 종합해보면, WannaRen 랜섬웨어는 Windows7, Windows10, Windows XP 등 시스템을 모두 감염시키는 것으로 확인되었습니다. 

랜섬웨어의 행위를 보았을 때, EternalBlue 취약점을 통해 유포되는 WannaCry 변종으로 추정되지만, 최근 소식에 따르면 해당 랜섬웨어는 EternalBlue 취약점을 악용하지 않는다고 합니다. 

현재까지 해당 랜섬웨어에 의해 암호화 된 파일을 복호화 할 수 있는 방법은 발견되지 않았습니다. 

공격자의 비트코인 주소를 확인해본 결과, 거래내역이 0인것으로 보아, 랜섬웨어에 감염된 사용자들 중에서 아직 랜섬머니를 지불한 사용자는 없는것으로 추정됩니다. 

<이미지 출처 : https://www.freebuf.com/news/232638.html>

현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.Filecoder로 탐지중에 있습니다. 

+ Update

2020년 4월 10일 현재, WannaRen 랜섬웨어 개발자가 복호화 키를 공개하였습니다. 

복호화키 다운로드  

복호화 하는 방법은, decode.exe와 private.pem을 동일 경로에 두고, 다음과 같은 명령을 실행하시면 됩니다. 

Decode.exe <암호화된 파일의 전체 경로>

출처 : 

https://www.freebuf.com/news/232638.html