“공포영화 ‘쏘우’ 연상케하는 ‘직소’ 랜섬웨어 등장”
상태바
“공포영화 ‘쏘우’ 연상케하는 ‘직소’ 랜섬웨어 등장”
  • 김선애 기자
  • 승인 2016.04.21 21:24
  • 댓글 0
이 기사를 공유합니다

트렌드마이크로 “사용자 파일 차례차례 지워 몸값 올려…사용자 공포심 자극해 공격 성공률 높여”

사용자의 심리를 교묘하게 이용하는 신종 랜섬웨어가 등장하고 있다. 랜섬웨어에도 사회공학적 기법이 적용되고 있는 것이다.

트렌드마이크로가 21일 보안블로그를 통해 소개한 ‘직소(JIGSAW)’는 공포영화 ‘쏘우(Saw)’를 연상케하는 이미지와 타이머를 이용해 사용자의 공포심을 자극하고 빠르게 돈을 지불하게 만든다. 또한 포르노 사이트를 통해서도 유포되면서 성인 이미지를 표출하면서 수치심을 자극하기도 한다.

무료 클라우드 저장 서비스 통해 유포

트렌드마이크로에 따르면 직소 랜섬웨어는 공포영화 ‘쏘우’의 ‘빌리 더 퍼펫’ 이미지를 사용하며, 빨간 카운트 시계를 표시해 공포심을 극대화하게 한다. 파일을 암호화 한 뒤 단계적으로 삭제해나가며 피해자가 몸값을 지불할 수 밖에 없도록 공포감과 압박을 심어준다.

수치심을 이용하는 경우, 성인 이미지를 표출하면서 “당신은 포르노 중독자입니다. 포르노를 그만 봐야 합니다. 이제 돈을 지불하세요”라는 메시지를 나타낸다.

▲크립토랜섬웨어 ‘직소(JIGSAW)’ 감염 PC 표출 화면

직소 랜섬웨어는 1fichier[.]com 이라는 무료 클라우드 저장 서비스에서 다운로드되며, 일부 포르노 사이트를 통해서도 다운된다. 클라우드 저장 서비스는 정보를 탈취하는 FAREIT, 비트코인을 수집하는 COINSTEALER와 같은 악성코드를 호스트 한 이력이 있다. 트렌드마이크로는 1fichier에 직소 랜섬웨어에 대해 안내했으며, 악성 URL은 삭제됐다. hxxp://waldorftrust[.]com에서 다운로드 되는 직소는 크립토마이너(Cryptominer) 프로그램과 함께 다운로드 된다.

크립토 랜섬웨어가 실행되면, 빌리 이미지 혹은 성인이미지가 나타나며 피해자 파일을 차례로 암호화하면서 피해자에게 금액을 협상한다. 시간이 지날수록 몸값을 올리는 방식을 취하며, 타이머를 표시하면서 시간이 지날수록 더 빠르게 파일을 지워나가고 더 높은 금액을 요구한다.

이러한 과정이 진행되면서 피해자는 빨리 돈을 지불해야 한다는 압박을 받게 되는데, 피해자가 지불하는 최소 금액은 20달러에서 150달러 수준인 것으로 나타난다.

직소는 피해자의 모든 파일을 복사해 복사된 파일을 암호화 한 뒤(.fun 확장자), 원본을 삭제한다. .KKK, .BTC, .GWS와 같은 확장자로 암호화하는 변종도 발견된다.

강제로 컴퓨터를 리부팅하면, 1000개의 파일이 복사본 없이 삭제된다는 경고 문구도 포함돼 있으며, 피해자는 72시간의 제한 시간 안에 돈을 지불하지 않으면, 암호화 된 모든 파일이 삭제될 것이라고 경고한다.

공포감 조성해 정교하지 않은 랜섬웨어로 공격 효과 높여

직소는 다른 크립토랜섬웨어와 다른 기능이나 루틴이 추가돼 있지 않으며 구조가 간단하며 정교함이 부족하다. 그러나 공포감을 조성하는 이미지와 타이머를 이용해 피해자의 공포심을 자극하기 때문에 공격 성공률이 높다.

트렌드마이크로는 이메일 악성 첨부파일을 통해 유포되는 ‘막투블로커(MAKTUBLOCKER)’ 역시 두려움을 자극하는 크립토랜섬웨어라고 소개했다. 이 랜섬웨어는 사용자의 이름과 메일주소를 표시해 악성 메일이라는 것을 구분하지 못하게 한다.

트렌드마이크로 블로그는 “크립토 랜섬웨어는 갈수록 피하기 어려워지고 있다. 사용자들은 데이터를 정기적으로 백업하고, 3-2-1 규칙을 사용해 데이터를 보호해야 한다”며 “트렌드마이크로의 ‘오피스스캔(OfficeScan) 11.0’, ‘비즈니스 시큐리티 서비스’는 FRS 기술이 적용된 엔드포인드 보안 제품으로, 신변종 랜섬웨어를 효과적으로 탐지한다”고 말했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.