체크멀(대표 김정훈)은 사탄(Satan)랜섬웨어가 지속 변종 개발로 감염 시 한국어 결제 메시지가 나타나 사용자 주의가 필요하다고 19일 밝혔다.
사탄랜섬웨어 변종은 파일 암호화와 결제 안내 파일을 생성한다. 초기 영어와 포르투갈어만 지원했다. 한국어를 포함 23개 언어로 확대됐다. 최근 광범위한 감염 목적으로 이터널블루 SMB 취약점을 이용한 전파 기능을 포함해 유포된다.
사탄랜섬웨어 감염 방식은 확인되지 않았다. 메일 첨부 파일이나 메일에 포함된 URL 링크로 파일 다운로드와 실행이 이뤄진다.
사탄랜섬웨어 드랍퍼(Dropper)가 다운로드 돼 실행되면 중국어를 사용하는 환경에서 제작된 것을 확인가능하다. 각 파일은 비밀번호로 보호된다.
암호화된 파일은 'satan_pro@mail.ru<원본 파일명>.<원본 확장명>.satan' 형태로 변경된다. '_How_to_decrypt_files.txt' 결제 안내 파일이 생성돼 영어, 중국어, 한국어로 표시된 메시지를 통해 비트코인 결제를 요구한다.
체크멀 관계자는 “사탄랜섬웨어가 지속적 변화와 기능을 추가해 유포돼 주의해야 한다”면서 “앱체크는 사탄랜섬웨어를 포함, 800개 이상의 신·변종 랜섬웨어를 차단한다”고 말했다.
정영일기자 jung01@etnews.com
