감염PC 파일을 무단 암호화하고 도널드 트럼프 미국 대통령 얼굴 사진을 띄우면서 복구 비용을 요구하는 랜섬웨어가 등장했다.
하우리(대표 김희천)는 트럼프 대통령을 소재로 한 랜섬웨어 '트럼프로커(TrumpLocker)'가 발견돼 사용자 주의가 요구된다고 23일 밝혔다.
트럼프로커는 압축파일 형태로 이메일에 첨부돼 유포됐다. 파일 압축을 풀면 PDF 문서로 위장한 실행파일이 나온다. 이를 열면 감염된다. 그 기반 소스코드는 한국 맞춤형 랜섬웨어라 불리는 '비너스로커(VenusLocker)'와 동일하다는 게 하우리 측 설명이다. 하우리는 바이로봇에서 트럼프로커를 Trojan.Win32.TrumpLocker라는 진단명으로 탐지, 치료 중이다.
관련기사
- "일정표 위장한 한국 맞춤형 랜섬웨어 확산"2017.02.23
- "러시아어 쓰는 범죄조직, 랜섬웨어 다수 제작"2017.02.23
- 랜섬웨어, 당신의 공인인증서를 노린다2017.02.23
- "특기 살릴까, 보폭 넓힐까"…보안업계 올해 전략은2017.02.23
트럼프로커 랜섬웨어는 감염PC 윈도의 볼륨섀도복사본을 삭제해 시스템 복원을 못하게 만든 다음 주요 파일을 암호화한다. 암호화한 파일 확장자는 'TheTrumpLockerf'와 'TheTrumpLockerp'로 바뀐다. 이후 바탕화면을 트럼프 대통령 사진으로 바꾼다. 사진에는 "당신은 해킹됐다(YOU ARE HACKED)"는 문구가 포함돼 있다. 공격자는 암호화를 풀 수 있게 해주는 대가로 150달러(약 17만원)를 72시간 안에 자신의 비트코인 지갑으로 보내라고 요구한다.
하우리 보안분석팀 김종기 연구원은 "첨부파일을 통한 악성코드 유포에 의외로 많은 사람들이 감염되고 있다"며 "출처가 불분명한 이메일 열람을 자제하고, 첨부파일 확장자를 다시 한번 확인해 랜섬웨어에 감염되지 않도록 각별히 주의해야 한다"고 말했다.
