한국 이용자를 노린 한국 맞춤형 랜섬웨어가 연일 극성이다. 랜섬웨어에 감염되면 PC에 저장된 파일을 암호화해 사용자가 읽을 수 없게 되고 해커는 암호화를 풀어주는 대가로 금전을 요구한다.
통합 보안 기업 이스트시큐리티는 23일 국내 특정 단체의 공지로 위장된 이메일을 통해 비너스락커(Venus Locker) 변종 랜섬웨어가 국내에 지속적으로 유포되고 있다고 밝혔다.
이스트시큐리티 시큐리티대응센터는 “수개월간 국내 기관과 기업을 집중 겨냥한 비너스락커 변종 랜섬웨어 공격이 꾸준히 이어지고 있다"며 "한국 맞춤형 비너스락커 랜섬웨어 공격은 올 상반기 보안 위협이 될 것으로 예상된다”고 말했다.
이번 사이버 공격자는 자신의 이메일로 랜섬웨어 피해자에게 한국어로 복구 절차, 비트코인 구매 방법 등을 친절히 설명해 주며 적극적인 모습을 보이는 등 치밀함까지 보였다.
이번 랜섬웨어 공격자는 한국의 특정 연구소나 주요 기관 종사자를 대상으로 연말정산 안내, 내부 지침 사항 공지 등을 사칭해 메일을 보내거나 법무법인에 법률 상담 문의 메일을 보내는 등 국내 기업과 기관의 특징을 정확히 파악해 맞춤형 공격을 가하고 있다.
같은 날 보안기업 하우리는 최근 미국의 제45대 대통령인 도널드 트럼프를 주제로 한 랜섬웨어가 발견돼 사용자들의 주의가 요구된다고 밝혔다.
트럼프를 주제로 한 랜섬웨어인 트럼프락커(TrumpLocker)는 이메일을 통해 압축 파일 형태로 전파된다. 압축 파일을 해제하면 파일 안에 PDF 문서로 위장한 실행파일이 들어있고 이를 클릭하면 감염된다. 비너스락커 랜섬웨어와 동일한 소스코드를 기반으로 제작됐다.
트럼프락커 랜섬웨어는 윈도우 복원을 불가능하게 만든다. 주요 파일들을 암호화하며 ".TheTrumpLockerf", ".TheTrumpLockerp"의 확장자로 변경한다. 파일 암호화가 완료되면 바탕화면을 변경하고 'YOU ARE HACKED'라는 문자열이 쓰인 트럼프 미국 대통령 사진을 출력한다.
김종기 하우리 보안분석팀 연구원은 “이메일 첨부파일을 통한 악성코드 유포는 매우 기본적인 방식이지만 의외로 많은 사람들이 감염되고 있다”며 "출처가 불분명한 이메일 열람을 자제할 필요가 있다"고 당부했다.