설문지 문서파일로 위장한 랜섬웨어가 국내 유포됐다. 한글 문서(.hwp)까지 암호화하는데다 악성코드 분석을 방해하기 위해 난독화 코드을 강화했다. 가상머신에서는 동작하지 않는다.
하우리(대표 김희천)은 지난 주부터 설문지 문서파일로 위장한 국내 맞춤형 랜섬웨어가 이메일로 유포됐다고 7일 밝혔다. 비너스락커 랜섬웨어 최신버전이다.
랜섬웨어 동작 유효기간은 올해 4월 1일까지다. 감염되면 바탕화면을 특정 이미지로 변경한다. 복호화 비용으로 1비트코인(약 120만원)을 요구한다. 일부 감염 피해자가 이미 해당 해커 지갑으로 비트코인을 지불한 사실도 식별됐다.
비너스락커는 국내 맞춤형으로 제작된 랜섬웨어다. 지난해 말부터 국내 주요 기관과 기업을 겨냥해 유포되기 시작했다. 능숙한 한국어를 구사하며 정교한 사회공학기법으로 악성 이메일을 보낸다.
하우리 CERT실은 “해당 랜섬웨어 제작자가 기능을 꾸준히 업데이트하면서 정교하게 국내 사용자를 노린다”며 “한국어를 자유자재로 구사하는 만큼 이메일 첨부파일 열람 시 주의가 필요하다”고 말했다.
하우리 바이로봇에서는 최신 비너스락커 랜섬웨어를 `Trojan.Win32.Injector`의 진단명으로 탐지, 치료한다.
박정은기자 jepark@etnews.com
