WhatsApp 아이콘으로 위장한 랜섬웨어 유포 주의
안녕하세요? 이스트시큐리티 시큐리티대응센터(ESRC) 입니다.
WhatsApp 아이콘으로 위장한 악성 파일이 유포되고 있어 사용자들의 주의를 당부 드립니다.
[그림 1] WhatsApp 위장 아이콘
[그림 2] 이전 버전의 사용자 클릭 유도 화면
하지만 최근 발견된 해당 악성 코드는 사용자가 파일을 실행하면 즉시 파일 암호화를 진행합니다.
암호화 대상 경로와 확장자는 아래와 같습니다.
[그림 3] 암호화 대상 경로
.wmv, .mp3, .mp4, .ini, .jpg, .png, .xls, .xlsx, .xml, .pdb, .dat, .bin, .html, .mov, .avi, .mpeg, .wma, .gif, .bmp, .jpeg, .pdf, .tiff, .docx, .pptx, .zip, .rar, .rtf, .jar, .ppt, .sys, .DLL, .exe |
[표 1] 암호화 대상 확장자
랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고, 원본 파일에 ‘bitcoin’ 확장명이 추가됩니다.
그리고 랜섬노트를 생성하여 사용자에게 100 달러 가치의 비트코인을 요구합니다.
[그림 4] 암호화 완료 화면
이전 지갑 주소 | 최근 지갑 주소 |
14KsoHrnkqFKMCUkAAd5mU7BuSQ3XpdiPN | 1DpYkoLa8wsadwgHs4ctkZMA83qMKHw5zD |
이전 사용한 이메일 주소 | 최근 사용한 이메일 주소 |
MildredRLewis@teleworm.us | MildredRLewis@teleworm.us |
[표 2] 이전과 최근 랜섬노트 정보 비교
해당 랜섬웨어는 교육용 목적으로 만든 오픈소스 프로젝트 히든티어(Hidden Tear) 기반 랜섬웨어 입니다.
그러나 이러한 소스코드가 실제 범죄에 활용되고 있기 때문에 제작 및 유포하는 것에 각별한 주의가 필요합니다.
알약에서는 Trojan.Ransom.HiddenTear 탐지명으로 추가된 상태이며, 또 다른 변종 출현에 대비해 랜섬웨어 보안 모니터링을 강화하고 있습니다.