2024-03-29 04:20 (금)
한국어 결제 메시지 나타나는 Satan 랜섬웨어 주의
상태바
한국어 결제 메시지 나타나는 Satan 랜섬웨어 주의
  • 길민권 기자
  • 승인 2018.06.19 16:30
이 기사를 공유합니다

메일 첨부 파일, 메일에 포함된 URL 링크 통해 파일 다운로드 및 실행

0619-3.jpg
체크멀(대표 김정훈)은 RaaS(Ransomware as a Service) 방식으로 운영되던 Satan 랜섬웨어가 지속적인 변종 개발로 감염 시 한국어 결제 메시지가 나타나는 것을 확인했다고 밝혔다. 

대표적으로 알려진 Satan 랜섬웨어 변종은 위와 같은 형태로 파일 암호화 및 결제 안내 파일을 생성하며, 초기에는 영어와 포르투갈어만 지원했지만 현재는 한국어를 포함한 23개 언어로 확대되었다.

또한 최근에는 더욱 광범위한 감염을 목적으로 EternalBlue SMB 취약점을 이용한 전파 기능이 포함돼 유포되고 있다.

Satan 랜섬웨어의 정확한 감염 방식은 확인되지 않았지만 메일 첨부 파일 또는 메일에 포함된 URL 링크를 통해 파일 다운로드 및 실행이 이루어지는 구조를 가지고 있다.

최초 Satan 랜섬웨어 드랍퍼(Dropper)가 다운로드 되어 실행되면 중국어를 사용하는 환경에서 제작된 것을 확인할 수 있으며, 각 파일은 비밀번호로 보호되어 있는 것이 특징이다.

암호화된 파일은 [satan_pro@mail.ru]<원본 파일명>.<원본 확장명>.satan 형태로 변경된다. _How_to_decrypt_FILES.txt 결제 안내 파일이 생성돼 영어, 중국어, 한국어로 표시된 메시지를 통해 비트코인 결제를 요구한다.

체크멀 관계자는 “Satan 랜섬웨어가 앞으로도 지속적인 변화와 기능 추가를 통해 유포 활동이 지속될 것으로 보여 각별히 주의해야 한다”라며 “앱체크는 Satan 랜섬웨어를 포함, 800개 이상의 신, 변종 랜섬웨어를 차단하므로 감염 전 미리 설치해 안전한 PC 환경을 유지해야 한다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★