2024-03-28 17:45 (목)
도넛 랜섬웨어 주의... Hidden-Tear 오픈소스 코드 활용해 제작
상태바
도넛 랜섬웨어 주의... Hidden-Tear 오픈소스 코드 활용해 제작
  • 길민권 기자
  • 승인 2018.06.27 21:46
이 기사를 공유합니다

▲ 도넛 랜섬웨어 주의. 체크멀 제공.
▲ 도넛 랜섬웨어 주의. 체크멀 제공.
파일 암호화 후 바탕화면의 작업 표시줄을 따라 도넛이 굴러다니는 '도넛(Donut) 랜섬웨어'가 확인돼 이용자들의 주의가 요구된다.

안티랜섬웨어 전문기업 체크멀(대표 김정훈)은 "올해 6월 해외에서 첫 보고가 이루어진 Donut 랜섬웨어는 Hidden-Tear 오픈 소스 기반 랜섬웨어로, 456종의 파일 확장명에 대해 암호화가 실행된다"며 "파일 암호화가 완료된 파일에는 .donut 확장명이 추가되며 암호화된 폴더에는 decrypt.txt 결제 안내 파일이 생성된다"고 설명했다.

AES CBC 암호화 알고리즘을 이용해 암호화 대상 파일이 위치한 폴더에 <원본 파일명>.<원본 확장명>.donut 파일(0 바이트)을 먼저 생성한 후, 4,096 바이트(Bytes)씩 원본 파일을 읽고 사전에 생성한 <원본 파일명>.<원본 확장명>.donut 파일에 쓰기를 진행하는 방식으로 암호화가 진행된다.

마지막 단계에서 원본 파일을 삭제 처리하는 방식으로 종료되며, 실행 후 파일 암호화 진행 중에 바탕 화면 배경(%Temp%wallpaper.bmp) 변경, 메시지 창 생성, 작업 표시줄 상단에 도넛이 굴러가는 시각적 메시지를 표시한다.

도넛 랜섬웨어는 기존에 공개된 Hidden-Tear 오픈 소스 코드를 활용해 제작이 이루어졌다는 점에서 언제든지 다양한 형태의 랜섬웨어 유포가 발생할 수 있을 것으로 보인다.

체크멀 관계자는 “도넛 랜섬웨어에 의해 파일 암호화 행위가 실행될 경우 앱체크 안티랜섬웨어는 이를 탐지하고 차단하기 때문에 해당 제품을 통해 시스템을 보호시기 바란다”고 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★