직소 랜섬웨어는 전 세계적으로 잘 알려진 공포 영화 ‘쏘우(Saw)’에 등장했던 광대 마스크 ‘빌리 더 퍼펫’ 이미지를 보여주고, 일정 시간이 지날 때마다 암호화된 일부 파일을 삭제해 사용자가 비트코인을 지불하도록 공포감을 조성하는 특징을 가지고 있다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)가 발견한 이번 랜섬웨어 변종은 광대 마스크 이미지 노출을 제외한 대부분의 특성이 기존 직소 랜섬웨어와 흡사한 것으로 나타났다..
ESRC에 따르면 이번 랜섬웨어에 감염되면 영화 쏘우의 범인이 TV를 통해 문장을 보여주며 인질을 협박했던 장면과 유사하게, PC 화면에 창을 띄우고 한글로 된 대화 형태의 안내문을 한 줄씩 순차적으로 보여주며 암호 해제(복호화)를 위해 비트코인 결제를 하도록 협박한다.
ESRC는 사용된 한글 안내문이 감탄사, 이모티콘을 적절히 사용하는 등 원어민 수준에 가까운 완벽한 구어체로 작성돼 있고 소스코드 분석 결과 주석, 폴더 경로 등에서 다량의 한글이 발견된 정황을 통해 한국인 개발자가 직접 개발에 참여한 것으로 추정하고 있다.
다만 해당 랜섬웨어를 분석하던 시점까지는 실제로 파일 암호화가 진행되지 않았으며, 각종 제작상 오류(버그)도 발견되는 등 이번 변종은 테스트용으로 제작한 샘플일 가능성이 있는 것으로 보여진다.
현재 통합 백신 알약(ALYac)에서는 이번 랜섬웨어를 탐지명 ‘Trojan.Ransom.Jigsaw’ 진단 후 차단하고 있다.
|