이달 해외서 처음 보고...암호화 후 작업표시줄에 도넛 나타나
오픈소스 랜섬웨어 ‘히든티어’로 제작...“변종 제작 가능성 커”

[보안뉴스 오다인 기자] 랜섬웨어 보안업체 체크멀(대표 김정훈)이 암호화 이후 바탕화면 작업표시줄에 도넛이 굴러다니는 ‘도넛 랜섬웨어’를 발견했다고 27일 밝혔다.


도넛 랜섬웨어는 이달 해외에서 처음 보고됐다. 오픈소스 랜섬웨어 ‘히든티어(Hidden-Tear)’로 제작됐으며, 파일 확장명 456종에 대해 암호화를 수행한다. 암호화된 파일에는 ‘.donut’이라는 확장명이 추가되고 암호화된 폴더에는 ‘decrypt.txt’라는 결제안내 파일이 생성된다.

도넛 랜섬웨어는 AES CBC 암호화 알고리즘을 이용해 암호화 대상 파일이 있는 폴더에 △원본 파일명 △원본 확장명 △.donut 파일부터 생성하고 4,096바이트씩 원본 파일을 읽는다. 이후 생성한 파일에 쓰기를 진행하는 식으로 암호화를 수행한다. 마지막 단계로 원본 파일을 삭제한다.

특이한 건 파일 암호화 중 바탕화면 배경을 변경, 작업표시줄 위로 도넛이 굴러가도록 표현한다는 점이다.

체크멀은 “도넛 랜섬웨어가 이미 공개된 히든티어를 활용해 제작됐다는 점에서 향후 다양한 형태의 랜섬웨어 변종이 제작·유포될 것으로 보인다”고 경고했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>