크리스마스 이브에 출몰한 신종 랜섬웨어 ‘데리아락’

크리스마스에도 계속되는 랜섬웨어 공격
파일 대신 스크린을 잠그는 방식

[보안뉴스 홍나경 기자]

크리스마스 이브에 신종 랜섬웨어가 나타났다.

이름은 데리아락(DeriaLock)으로, 보안전문 기업 G데이터(G Data)의

멀웨어 분석가인 칼스텐 한(Karsten Hahn)이 발견했다.

랜섬웨어는 1)컴퓨터 파일을 잠그는 공격 2)파일은 놔두고 컴퓨터를

잠가버리는 공격으로 나뉘는데 데리아락은 후자에 해당한다.

정확한 감염경로에 대해서는 아직 밝혀진 바가 없다.

데리아락에 감염되면 피해자는 PC스크린을 언락하는 데 30달러(한화 3만300원) 정도를 요구받는다.

스카이프(Skype)로 해커에게 연락을 한 뒤 돈을 송금하면 된다.

칼스텐은 멀웨어 공유 플랫폼인 바이러스 토탈(VirusTotal)에서

데리아락의 바이너리를 받아 분석한 결과를 공개했다.

“데리아락은 PC의 기기 고유 ID(Machine ID)를 사용해 MD5 해시를 생성합니다.

랜섬웨어를 개발하는 사람들이 실수로 자기 컴퓨터를 감염시킬 때가 있는데,

데이아락 개발자도 이 점을 염두에 두고 개발한 듯 합니다.

데리아락 소스코드에 하드코딩 된 MD5가 있거든요.

이 MD5가 로컬 기기와 매칭이 되면 감염이 진행되지 않습니다.”

MD5 인증 작업 후, 데리아락은 C&C 서버에 접속하고

가장 최신 버전의 데리아락을 다시 다운로드 받는다.

저장 경로는 ‘C:/users/appdata/roaming/microsoft/windows/start menu/programs/startup/SystemLock.exe’다.

저장된 데리아락이 실행되면 윈도우 스크린에 사용자 PC가 감염됐다는 메시지가 나타난다.

메시지의 원본은 영문이며 독일어와 스페인어로도 번역해 메시지를 확인할 수 있게 옵션 키가 화면에 나타난다.

하지만 ‘스페인어’ 키는 눌러도 번역 내용이 나타나지 않는다.

영어와 독어 모두 오타 투성이다.

기사 원문보기 : http://www.boannews.com/media/view.asp?idx=52846&kind=4