체크멀 “히든비어 랜섬웨어, 암호화 후 문재인 대통령·김정은 위원장 포옹 장면으로 바탕화면 바꿔”
문재인 대통령과 김정은 북한 국무위원장이 판문점 평화의 집에서 포옹하는 장면을 편집한 이미지로 바탕화면을 바꾸는 ‘히든비어 랜섬웨어’가 발견됐다.
체크멀(대표 김정훈)에 따르면 이 랜섬웨어는 히든티어(Hidden-Tear) 오픈소스로 제잗됐으며, 다운로드, 라이브러리(동영상, 문서, 사진, 음악), 바탕 화면, 원드라이브, 즐겨찾기 등의 기본 폴더 영역에 대해 파일 암호화를 진행한다.
암호화된 파일은 .beer 파일 확장명이 추가된다. 암호화 후 바탕 화면이 문재인 대통령과 김정은 위원장의 포옹 장면으로 바뀌고, 결제 안내 메시지 파일을 생성해 특정 주소로 100달러 상당의 암호화폐를 보내도록 안내한다. 추가 파일을 자동 실행해 암호화 사실을 알리며 금전 요구, 복호화 키 입력을 통한 파일 복구를 지원한다.
소스가 공개된 히든티어 랜섬웨어 계열은 도넛 랜섬웨어와 같이 다양한 형태로 제작된 변종이 많아 더욱 주의가 필요하다.
체크멀 관계자는 “효과적으로 데이터를 보호하기 위해 히든비어 랜섬웨어의 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원하는 앱체크를 사용하시기 바란다”고 말했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
