모든 드라이브 파일 암호화...Discord에서 복호화키 구매 후 링크 보내도록 요구
3시간 유효 시간 표기해 압박...시간 지난 뒤에도 파일 삭제는 없는 것으로 파악
에브리존 화이트디펜더, ‘.givemenitro’로 암호화되는 니트로 랜섬웨어 침해사고 분석

[보안뉴스 김영명 기자] 새로운 유형의 랜섬웨어가 발견돼 눈길을 끌고 있다. 해당 랜섬웨어는 확장자명을 따서 ‘니트로(Nitro)’라고 부르며, 파일명.확장자.givemenitro 형식으로 감염 대상 컴퓨터의 모든 파일을 변경하고 있다.


에브리존 화이트디펜더는 최근 모든 파일을 .givemenitro 형식으로 암호화하며 확장해 나가고 있는 침해사고가 발생했다며 해당 니트로 랜섬웨어에 대해 분석한 결과를 발표했다. 니트로 랜섬웨의 파일 속성을 분석해 보면, 해당 랜섬웨어는 이달 초에 체코어로 만들어진 것을 알 수 있다.

니트로 랜섬웨어는 C++ 언어를 기반으로 하는 랜섬웨어다. 이 랜섬웨어가 실행되면 특정 폴더가 아닌 모든 드라이브에 대한 암호화가 진행되며, 각각의 위치에 랜섬노트가 자동으로 생성된다. 암호화 완료된 다음에는 특정 명령제어(C2) 서버와 통신을 진행하고 있다.


니트로 랜섬웨어에 감염된 이후의 남겨진 랜섬노트를 찾아보면 각각의 경로에 ‘ReadMe.txt’, ‘ReadMe.html’, ‘ReadMe.bmp’ 형식으로 남겨졌다. 또한 암호화가 진행되면 ‘파일명.확장자.jaff’ 형식으로 모든 파일을 암호화하고 있다.

에브리존 화이트디펜더 분석팀은 “니트로 랜섬웨어는 모든 파일 데이터가 AES 암호화 알고리즘으로 암호화됐음을 알린다”며 “파일 데이터를 복구하려면 복호화 키를 Discord에서 기프트로 구매 후 링크를 보내도록 요구하는 랜섬웨어”라고 말했다. 이어 “공격 프로세스가 진행되면 랜섬웨어 화면이 표시되며 3시간 이내에 Discord의 기프트 코드를 구매한 후 링크를 보내도록 요구한다”며 “타이머가 0이 되어도 파일을 삭제하지는 않기 때문에 유휴 위협으로 파악되고 있다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>