ViRobot

하우리샵 바로가기

보안이슈 분석

신종 랜섬웨어 공주(Princess) 랜섬웨어 감염 주의
등록일 : 2016.09.30

□ 개요

   

  국내 사용자들도 겨냥하여 제작된 신종 랜섬웨어인 “공주(Princess)” 랜섬웨어가 발견되었다. 

  공주 랜섬웨어에 감염되면, 암호화된 파일들에 대한 복호화 방법을 안내하는 페이지가 뜨게 된다. 

  해당페이지에서는 한국어를 포함하여 12개의 언어를 지원하는 것으로 나타난다. 

  한국어를 지원하는 내용이 포함된 것으로 볼 때 감염 대상에 한국도 포함된 것으로, 국내의 사용자들에 대한 

  피해가 증가할 것으로 예상되어 사용자들의 각별한 주의가 필요하다.

 

□ 내용 

 

  랜섬웨어에 감염되면PC내 주요 파일이 AES-128 대칭키 암호화방식으로 암호화된다. 또한 암호화된 파일의 

  확장자는 5자리의 랜덤한 확장자명으로 변경된다. 

 

[감염 후 파일 이름]

원본 파일명.(5자리랜덤한 확장자)

 

 

[그림 1] 암호화된 파일

 

해당 랜섬웨어는 리그(RIG)익스플로잇킷을 통해 웹사이트 방문 시 감염되는 방식과 Locky 등 많은 랜섬웨어처럼 스팸메일을 통해 유포된다. 특히 이번 랜섬웨어는 기존 랜섬웨어보다 비싼 3비트코인(약 200만원)의 복호화 비용을 요구하고 있으며, 시간이 지나면 2배인 6비트코인으로 가격이 올라간다.또한, 기존의 투박했던 랜섬웨어 디자인과는 다르게 “공주(Princess)”라는 이름을 가진 만큼 세련된 디자인을 보이는 것이 특징이다. 

 


[그림 2] 감염 후 안내 페이지

 

 


 [그림 3] 안내언어 선택 페이지

  


[그림 4] 가격안내 페이지

 

 

 

[그림 5] 암호화하는파일 확장자 목록

 

□ 바이로봇 업데이트 내역

Trojan.Win32.PrincessLocker

 

※ 랜섬웨어 감염 예방방법: http://www.hauri.co.kr/Ransomware/prevention.html 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담