여름을 강타할 공포의 랜섬웨어?!

여름을 강타할 공포의 랜섬웨어?! AhnLab ASEC대응팀 / 2018-05-30         “지금부터 게임을 시작하지.”   공포 영화 '쏘우(Saw)’를 대표하는 대사이다.  곧 ‘쏘우’와 같은 공포 영화가 줄줄이 극장가를 메우며 관람객의 감각을 자극하는 계절이 다가온다. 그런데 그 보다 먼저 우리의 등골을 오싹하게 하는 소식이 있다. 바로 직쏘(Jigsaw) 랜섬웨어의 귀환이다.   지난 해 여름 언론을 통해 보도되기도 했던 공포의 직쏘 랜섬웨어가 또 다시 돌아왔다. 직쏘 랜섬웨어는 영화 '쏘우'의 캐릭터 빌리 더 퍼펫의 이미지와 대사를 모방해 피해자의 공포심을 불러일으켰던 랜섬웨어다. 그런데 이번에는 엉뚱하게도 영화 ‘쏘우’나 빌리 더 퍼펫 캐릭터와는 관련 없는 해외 락 밴드의 이미지를 차용해 알아보기 어려운 모습으로 사용자를 공격했다.     [그림 1] 예전 직쏘 랜섬웨어의 감염 화면 속 빌리 더 퍼펫 캐릭터 이미지   이번에 발견된 직쏘 랜섬웨어는 2016년과 마찬가지로 파이어폭스(Firefox) 관련 프로그램으로 위장했다. 작년에는 어도비 플래시 업데이트(Adobe Flash Update) 프로그램인 것처럼 위장, 배포되었다.   ☞’2016년, 파이어폭스로 위장한 직쏘 랜섬웨어’ ☞’2017년, 어도비 플래시 업데이트로 위장한 직쏘 랜섬웨어’   파이어폭스프로그램의 실행 파일(firefox.exe)로 위장한 직쏘 랜섬웨어를 실행하면 다른 유명 프로그램으로 위장한 파일(drpbx.exe)을 로컬 경로에 저장한다. drpbx.exe는 실제 감염된 사용자 PC 파일을 암호화하는 파일로 실행 시 [그림 2]와 같은 알림 창을 표시한다.     [그림 2] 직쏘 랜섬웨어 실행 시 나타나는 알림 창   [그림 2]의 알림 창에서 확인 버튼을 클릭하면, PC 내 파일이 암호화된다. 암호화가 시작되면, 암호화된 파일의 확장자가 booknish로 변경된다. 모든 파일의 암호화가 끝난 후에는 [그림 3]과 같은 랜섬노트 이미지가 화면에 표시된다.   지난 2년 동안 발견되었던 직쏘 랜섬웨어가 영화 캐릭터 이미지와 대사를 그대로 사용한 반면 이번에 발견된 것은 미국 락 밴드의 모티브를 차용했다.     [그림 3] 최신 직쏘 랜섬웨어 랜섬노트   [그림 3]의 알림 창에 표시된 “You have been weened”는 “너는 당했다”라는 의미와 ween이라는 미국 뮤지션을 일컫는 중의적 의미를 담고 있다. [그림 4]의 랜섬노트 이미지는 ween 밴드 앨범의 로고이며 booknish라는 확장자는 그들의 노래 boognish에서 따온 것으로 보인다.     [그림 4] ween의 boognish 앨범 이미지   이러한 차이점을 제외하면 기존에 유포된 직쏘 랜섬웨어와 거의 동일하다. 기존 랜섬웨어의 소스를 그대로 사용했으며, 이미지, 텍스트, 확장자 등 일부만 수정해서 다시 배포된 것이다.   앞으로도 직쏘 랜섬웨어를 모방한 또 다른 유사한 형태의 랜섬웨어가 계속 나타날 수 있다. 이는 다른 랜섬웨어도 마찬가지다. 때문에 이미 알려진 공격이라고 해서 안심해서는 안된다. 영화 ‘쏘우’에서 하나씩 죽어나가는 등장인물처럼 직쏘에게 당하지 않으려면, 정식 사이트에서만 프로그램 다운로드, 백신 프로그램 정기 업데이트 등 기본 보안 수칙을 지키는 것이 중요하다.   안랩 V3 제품군에서는 최신 직쏘 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> - Trojan/Win32.Jigsaw