파이썬(Python)으로 제작돼 스스로를 록키(Locky) 랜섬웨어라고 지칭하는 ‘파이록키(PyLocky)’ 랜섬웨어가 발견됐다. 록키는 2016년부터 지난해까지 전 세계적에 유포되며 많은 피해를 입힌 악명높은 랜섬웨어로, 정교한 사회공학 기법을 이용해 유포되며, 변종공격이 많아 시그니처 기반 보안 솔루션으로 방어하는데 어려움을 주었다.
체크멀(대표 김정훈)이 이번에 발견한 ‘파이록키(PyLocky)’는 결제 안내 페이지에서 록키 랜섬웨어를 자청하고 있으며, 파이썬으로 제작돼 실행 후 프로그램 설치 화면이 일시적으로 표시되면서 오류 메시지 창을 생성한다.
오류가 발생한 것처럼 사용자를 속이는 과정이며, 메시지 내용을 확인해보면 송장 관련 메일 첨부파일을 통해 유포된 것으로 추정된다. 파일 암호화가 진행되면 원본 파일은 .locky 확장명으로 변경된다. 이 확장명은 록키, 오토록키(AutoLocky), 허키(Hucky), 파워웨어(PowerWare) 등의 랜섬웨어에서 추가하는 확장명과 동일하다.
암호화 대상 폴더마다 LOCKY-README.txt 결제 안내 파일이 생성되고, 메시지 파일에 한국어를 포함, 영어, 이탈리아어, 프랑스어 총 4가지 언어로 금전을 요구하는 내용을 표시한다.
체크멀 관계자는 “앱체크 안티랜섬웨어가 파이록키 랜섬웨어의 파일 암호화 행위로부터 정상적으로 파일을 보호하는 것을 확인했다”며 “한국어 메시지가 포함돼 있다는 점에서 차후 변종 제작을 통해 더욱 확장된 유포가 이루어질 가능성이 있으므로 각별히 주의해야 한다”고 당부했다.
