체크멀(대표 김정훈)은 한국어 결제 메시지가 나타나는 서비스형 랜섬웨어(RaaS) ‘사탄’ 변종을 발견했다고 19일 밝혔다.

이터널블루 SMB 취약점을 이용해 전파되는 사탄 랜섬웨어 변종은 한국어로 파일이 암호화됐다는 사실과 결제 안내 파일을 생성한다. 초기에는 영어와 포르투갈어만 지원했지만 현재는 한국어를 포함한 23개 언어로 확대됐다.

사탄 랜섬웨어의 정확한 감염 방식은 확인되지 않았지만, 메일 첨부 파일 또는 메일에 포함된 URL 링크를 통해 파일 다운로드 및 실행이 이루어지는 구조를 가지고 있다. ​최초 랜섬웨어 드랍퍼가 다운로드 돼 실행되면 중국어를 사용하는 환경에서 제작된 것을 확인할 수 있으며, 각 파일은 비밀번호로 보호돼 있다.

암호화된 파일은 [satan_pro@mail.ru]<원본 파일명>.<원본 확장명>.satan 형태로 변경된다. _How_to_decrypt_files.txt 결제 안내 파일이 생성되어 영어, 중국어, 한국어로 표시된 메시지를 통해 비트코인 결제를 요구한다.

체크멀 관계자는 “사탄 랜섬웨어가 앞으로도 지속적인 변화와 기능 추가를 통해 유포 활동이 지속될 것으로 보여 각별히 주의해야 한다”며 ​“앱체크는 사탄 랜섬웨어를 포함, 800개 이상의 신/변종 랜섬웨어를 차단하므로 감염 전 미리 설치하여 안전한 PC 환경을 유지하시길 바란다”고 전했다.

김선애 기자 다른기사 보기