공격자, 공개된 히든티어 소스코드보다 많은 확장자 암호화하도록 제작
[보안뉴스 김경애 기자] 최근 히든티어(Hidden Tear) 오픈소스 프로젝트를 기반으로 제작된 ‘매직(Magic)’ 랜섬웨어가 유포되고 있어 이용자들의 각별한 주의가 요구된다.
[이미지=하우리 제공]
히든티어는 랜섬웨어 오픈소스 프로젝트로서, 2015년 8월에 교육을 목적으로 시작됐지만 공격자들은 이를 악용하여 랜섬웨어를 제작하고 있다.
보안업체 하우리 관계자는 “히든티어 오픈소스 프로젝트는 누구나 접근이 가능하며, 이를 이용하여 변종 랜섬웨어를 손쉽게 제작할 수 있다”며 “매직 랜섬웨어는 이러한 히든티어 오픈소스를 기반으로 제작된 변종 랜섬웨어로 공격자는 공개된 히든티어의 소스코드보다 더 많은 확장자를 암호화시키도록 제작했다”고 분석했다.
매직 랜섬웨어는 AES-256bit 암호화 방식을 통해 감염자의 파일을 암호화시킨다. 암호화된 파일의 확장자는 ‘.locked’로 변경된다. 파일 암호화가 끝난 후, 사용자의 배경화면을 바꾸고 감염사실을 알리기 위한 랜섬노트(READ_IT.txt)를 생성한다. 해당 랜섬노트에는 지급방법을 설명하는 유튜브 동영상의 주소가 포함돼 있다.
공격자는 약 13만원(100 유로) 상당의 비트코인을 요구하며, 감염 2일이 지난 이후에는 파일의 복구가 불가능하다고 경고하고 있다.
[이미지=하우리 제공]
히든티어 프로젝트의 랜섬웨어는 악성코드에 포함된 공격자의 주소로 암호화키 등의 감염 정보를 보내는 기능이 존재한다. 공개된 소스코드는 감염정보를 ‘http://www.example.com’으로 전송하는데, 매직 랜섬웨어는 해당 부분을 수정하지 않고 그대로 사용했다. 여기에서 보듯 공격자는 복호화 키를 가지고 있지 않기 때문에 비트코인을 지급해도 파일 복구가 불가능하다.
[이미지=하우리 제공]
하우리 측은 “세계적으로 랜섬웨어에 대한 연구가 진행되면서 교육을 목적으로 한 랜섬웨어 오픈소스 프로젝트가 생겨나고 있다”며 “이를 악용할 경우 개발 경험이 적은 공격자들도 손쉽게 변종 랜섬웨어 제작이 가능하기 때문에 주의해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>