> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
체크멀 “파이썬으로 제작된 랜섬웨어 등장”
록키 랜섬웨어 자청하는 ‘파이록키’ 국내 유포…한국어 메시지 포함돼 있어 주의해야
2018년 09월 05일 09:54:39 김선애 기자 iyamm@datanet.co.kr
   

파이썬(Python)으로 제작돼 스스로를 록키(Locky) 랜섬웨어라고 지칭하는 ‘파이록키(PyLocky)’ 랜섬웨어가 발견됐다. 록키는 2016년부터 지난해까지 전 세계적에 유포되며 많은 피해를 입힌 악명높은 랜섬웨어로, 정교한 사회공학 기법을 이용해 유포되며, 변종공격이 많아 시그니처 기반 보안 솔루션으로 방어하는데 어려움을 주었다.

체크멀(대표 김정훈)이 이번에 발견한 ‘파이록키(PyLocky)’는 결제 안내 페이지에서 록키 랜섬웨어를 자청하고 있으며, 파이썬으로 제작돼 실행 후 프로그램 설치 화면이 일시적으로 표시되면서 오류 메시지 창을 생성한다.

​오류가 발생한 것처럼 사용자를 속이는 과정이며, 메시지 내용을 확인해보면 송장 관련 메일 첨부파일을 통해 유포된 것으로 추정된다. 파일 암호화가 진행되면 원본 파일은 .locky 확장명으로 변경된다. ​이 확장명은 록키, 오토록키(AutoLocky), 허키(Hucky), 파워웨어(PowerWare) 등의 랜섬웨어에서 추가하는 확장명과 동일하다.

암호화 대상 폴더마다 LOCKY-README.txt 결제 안내 파일이 생성되고, 메시지 파일에 한국어를 포함, 영어, 이탈리아어, 프랑스어 총 4가지 언어로 금전을 요구하는 내용을 표시한다.

체크멀 관계자는 “앱체크 안티랜섬웨어가 파이록키 랜섬웨어의 파일 암호화 행위로부터 정상적으로 파일을 보호하는 것을 확인했다”며 “​한국어 메시지가 포함돼 있다는 점에서 차후 변종 제작을 통해 더욱 확장된 유포가 이루어질 가능성이 있으므로 각별히 주의해야 한다”고 당부했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  체크멀, 파이썬, 랜섬웨어, 록키, 파이록키
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr