감염 피해자 대상 안내에 한국어 문구가 추가된 '사탄' 랜섬웨어 새버전이 국내 유포됐다.
하우리(대표 김희천)는 지난해 11월 국내 유포된 사탄 랜섬웨어가 한국어 지원을 추가한 2.1 버전으로 재차 유포됐다고 3일 밝혔다.
이 랜섬웨어는 감염 피해자 PC 주요 파일을 암호화하고 확장자 '.satan'을 추가한다. 암호화를 마치면 감염 피해자에게 지시내용을 전달하는 파일(랜섬노트) 'ReadMe_@.TXT'를 표시하고 복호화 프로그램 'Notice.exe'를 생성한다. 감염 피해자에게 복호화 프로그램에 입력할 복구키를 받으려면 0.3비트코인을 내라고 요구한다. 3일이 지나면 복구할 수 없다고 경고한다.
관련기사
- 하우리 "파워셸 ‘엠파이어’를 이용한 APT공격 증가"2018.04.03
- 탐지 어려운 'MSI' 확장자 형식 악성코드 유포 급증2018.04.03
- 하우리, 국방부 백신 구축사업자 재선정2018.04.03
- 하우리, SW 신규취약점 신고포상제 운영 참여2018.04.03
하우리의 추정에 따르면 사탄 랜섬웨어는 한국을 주요 표적으로 삼아 제작됐다. 이는 지난해 11월 국내 유포 당시와 동일한 국내 웹서버를 통해 재차 유포됐다. 당시 버전과 새 버전 제작자는 동일범이다. 이 제작자는 지난해 추석연휴 유포돼 국내 사용자 수백명을 감염시킨 '올크라이' 랜섬웨어도 만든걸로 추정됐다. 당시 유포경로는 변조된 특정프로그램 업데이트 파일이었다.
하우리 CERT실 측은 "2017년 국내 피해자를 낳은 랜섬웨어를 유포한 공격자가 최근 활동을 재개한 것으로 추정된다"며 "랜섬웨어에 감염되지 않도록 보안프로그램을 최신 버전으로 업데이트하고 중요한 데이터를 반드시 백업해야 한다"고 조언했다.