어도비 플래시 플레이어 설치파일 아이콘으로 위장…중국어·영어·일어 등 20여개 언어로 작성
체크멀(대표 김정훈)은 영어, 일본어, 중국어 사용자를 대상으로 감염을 시도했던 ‘샤오바(XiaoBa)’ 랜섬웨어의 2.0 버전이 한국어를 포함해 유포되고 있다고 31일 밝혔다.
샤오바 2.0의 실행 파일은 어도비 플래시 플레이어 설치 파일 아이콘 모양을 하고 있으며, 파일에는 유효하지 않은 ‘Adobe Systems Incorporated’ 디지털 서명이 포함돼 있다. 메일 첨부 파일 또는 웹 상에서 어도비 플래시 플레이어 설치 파일로 위장해 유포됐을 가능성이 높다.
파일 암호화가 진행될 경우 [xiaoba_666@163.com]Encrypted_<Random>.XIAOBA 형태로 파일이 변경된다. 라이브러리(동영상, 문서, 사진, 음악) 폴더에는 암호화된 파일의 원본 파일명과 확장명을 기록하기 위해 중국어로 작성된 파일이 생성된다.
파일 암호화가 진행되는 과장에서 생성되는 결제 메시지에는 기본적으로 중국어로 표시되며, 영어와 한국어를 포함한 20여개의 언어로 작성돼 있다.
체크멀 관계자는 “현재 샤오바 2.0 랜섬웨어가 지속적으로 버전 업데이트 및 다양한 변종이 발견되고 있으므로 중요 파일은 미리 백업하고, 안티랜섬웨어 솔루션 앱체크로 시스템을 보호하시기 바란다”고 말했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
