[악성코드 분석] 한국인 제작 추정 ‘Korean Locker’ 랜섬웨어 유포 주의

한국인이 제작한 것으로 추정되는 ‘Korean Locker’ 랜섬웨어 유포 주의 

1. 개요 

최근, 유창한 한국어로 작성된 ‘Korean Locker’ 랜섬웨어가 발견되었다. 새롭게 발견된 ‘Korean Locker’ 랜섬웨어는 오픈소스 랜섬웨어인  '히든 티어(Hidden Tear)'를 활용한 ‘.NET’ 기반의 랜섬웨어다. 해당 랜섬웨어의 랜섬노트는 능숙한 한글로 기재 되어 있으며, 나무 위키 웹사이트 URL을 첨부하여 사용자에게 RSA 암호화 방식에 대한 내용을 제공한다. 또한 비트 코인을 지불하는 방법으로 한국 비트코인 거래소를 소개하는 점으로 보아 한국인 개발자가 제작한 것으로 추정된다. 이번 분석 보고서에서는 ‘Korean Locker’ 랜섬웨어에 대하여 간략하게 알아보고자 한다.

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	임의의 파일명.exe
파일크기	216,576 bytes
진단명	Ransom/W32.KoreanLocker.216576
악성 동작	파일 암호화

2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 불특정 다수를 대상으로 이메일에 첨부하여 유포되고 있는 것으로 추정 된다.

2-3. 실행 과정

‘Korean Locker’ 랜섬웨어는 확장자는 ‘.exe’이지만 PDF 문서 아이콘으로 위장 하고 있다. 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에 ‘.locked’라는 확장자를 덧붙인다. 또한, 바탕화면에 ‘Readme.txt’ 이름의 랜섬노트를 생성하며, 해당 텍스트 파일을 실행시키면 [그림 1]과 같은 랜섬노트를 화면에 출력한다. 

[그림 1] ‘Korean Locker’ 랜섬노트

3. 악성 동작

3-1. 파일 암호화

해당 랜섬웨어는 아래 [표1]와 같이 대상이 되는 파일을 찾아 암호화를 진행한다. 암호화가 완료되면 원본 확장자 뒤에 ‘.locked’라는 확장자를 덧붙인다. 

구분	내용
암호화 대상 파일 확장자	".txt",".hwp",".doc",".docx",".xls",".index",".pdf",".zip",".rar",".css",".lnk",".xlsx",".ppt", ".pptx",".odt", ".jpg",".bmp",".png",".csv",".sql",".mdb",".sln",".php",".asp",".aspx", ".html",".xml",".psd",".bk",".bat", ".mp3",".mp4",".wav",".wma",".avi",".divx",".mkv", ".mpeg",".wmv",".mov",".ogg",".vmv",".cs",".sln", ".suo",".settings",".exe",".log", ".dll",".reg"

[표 1] 암호화 대상 파일 확장자

[그림 2] 파일 암호화

3-2. 결제 안내

암호화가 진행된 후 바탕화면에 ‘Readme.txt’ 라는 이름의 랜섬노트 파일이 생성된다. 해당 파일을 열면 한글로 작성된 비트코인 구매 방법을 볼 수 있으며, 암호화된 파일에 대하여 복호화 하기 위한 방법으로 비트코인을 지불하라는 내용을 포함하고 있다. 또한, 하단에 한국 비트코인 거래소를 나열하고 있다. 

[그림 3] 복호화 안내 문구

4. 결론

이번 보고서에서 알아 본 ‘Korean Locker’ 랜섬웨어는 암호화 동작 외에 기존 랜섬웨어의 볼륨 쉐도우 복사본 삭제, 자동 실행 등록 같은 동작은 하지 않는 것으로 보아 테스트 목적으로 만들어졌을 가능성이 높다. 향후 기능이 추가되어 피해를 입을 수 있으므로 PC를 사용함에 있어 주의를 기울여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다. 

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면