한국식 표현이 포함된 ‘카카오톡 위장 랜섬웨어 변종’이 발견되었다. 새롭게 발견된 카카오톡 위장 랜섬웨어는 지난 2016년 8월 20일경 발견된 KOREAN 랜섬웨어와 비교했을 때 폰트, 이미지 등을 제외한 대부분의 특성이 흡사한 것으로 나타났다. 랜섬웨어 관련 지속적인 주의가 요구된다.

이스트시큐리티 시큐리티대응센터(ESRC)측은, Hidden-Tear 오픈 소스 기반으로 제작된 이 랜섬웨어는 바탕 화면 경로에 있는 파일들 중 아래에 해당하는 확장자만 AES 알고리즘을 이용하여 “[기존파일명][기존확장자명].암호화됨” 으로 암호화를 진행한 뒤 1 비트코인을 요구한다고 설명했다.

지난 2016년 8월경 발견된 악성파일과 비교해 보면 토르 사이트 주소는 동일하나 폰트와 이미지, 암호화 대상 확장자 등 바뀐 부분을 확인할 수 있으며, “%위” 를 “응위”로 작성한 것으로 보아 모방한 것으로 추정된다. 이전 코드와 비교한 부분은 아래의 표로 확인할 수 있다.

암호화에 사용하는 확장자가 “암호화됨” 이라는 한국말인 점과 한국에서 사용하는 메신저 앱인 카카오톡 이미지를 사용하고 한국에서 만든 나무 위키를 사용, 비트코인 구매 방법으로 한국거래소 등을 알려주는 점으로 미루어 제작자는 우리나라 환경에 익숙한 사람으로 추정된다.

Hidden Tear는 본래 교육용으로 배포된 랜섬웨어지만 현재 실제 활용되어 배포되고 있다. 아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염 활동이 가능한 상태이기 때문에 각별한 주의가 필요하다.

★정보보안 대표 미디어 데일리시큐!★