히든티어 오픈소스로 제작…변종 랜섬웨어 확장 ‘위험’
체크멀(대표 김정훈)은 파일 암호화 후 바탕화면의 작업 표시줄을 따라 도넛이 굴러다니는 ‘도넛 랜섬웨어’가 확인됐다고 27일 밝혔다. 도넛 랜섬웨어는 히든티어 오픈 소스 기반 랜섬웨어로, 456종의 파일 확장명에 대해 암호화가 실행된다.
파일 암호화가 완료된 파일에는 .donut 확장명이 추가되며, 암호화된 폴더에는 decrypt.txt 결제 안내 파일이 생성된다.
AES CBC 암호화 알고리즘을 이용해 암호화 대상 파일이 위치한 폴더에 <원본 파일명>.<원본 확장명>.donut 파일(0 바이트)을 먼저 생성한 후, 4096 바이트(Bytes)씩 원본 파일을 읽고 사전에 생성한 <원본 파일명>.<원본 확장명>.donut 파일에 쓰기를 진행하는 방식으로 암호화가 진행된다.
마지막 단계에서 원본 파일을 삭제 처리하는 방식으로 종료되며, 실행 후 파일 암호화 진행 중에 바탕 화면 배경(%Temp%\wallpaper.bmp) 변경, 메시지 창 생성, 작업 표시줄 상단에 도넛이 굴러가는 시각적 메시지를 표시한다.
도넛 랜섬웨어는 공개된 오픈소스 코드를 활용해 제작이 이뤄졌다는 점에서 언제든지 다양한 형태의 랜섬웨어 유포가 발생할 수 있을 것으로 보인다.
체크멀 관계자는 “도넛 랜섬웨어에 의해 파일 암호화 행위가 실행될 경우 앱체크 안티랜섬웨어는 이를 탐지하고 차단하기 때문에 해당 제품을 통해 시스템을 보호하기 바란다”고 당부했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지