ViRobot

하우리샵 바로가기

보안이슈 분석

미국 대통령 트럼프 랜섬웨어 감염 주의
등록일 : 2017.02.22

□ 개요

 

최근 미국의 제45대 대통령인 도널드 트럼프를 주제로 한 랜섬웨어가 등장하였다. 기존에 국내 맞춤형으로 유포되고 있는 비너스락커(VenusLocker)” 랜섬웨어와 동일한 소스코드를 기반으로 제작되었다. 이메일을 통해 압축파일 형태로 전파되며 사용자들의 각별한 주의가 요구된다.

 

 

□ 내용


트럼프를 주제로 한 랜섬웨어인 트럼프락커(ThrumpLocker)”는 국내 맞춤형으로 유포되고 있는 비너스락커(VenusLocker)” 랜섬웨어와 동일한 소스코드를 기반으로 제작되었다. 해당 랜섬웨어에 감염되면 볼륨 쉐도우 복사본(Volume Shadow Copy)”을 삭제하여 윈도우 복원을 불가능하도록 만든다. 이후 주요 파일들을 암호화하며 Base64로 인코딩된 파일명과 ".TheTrumpLockerf", ".TheTrumpLockerp"의 확장자로 변경한다. 

 

 [그림 1] “트럼프락커(ThrumpLocker)” 랜섬웨어 감염 메시지

 

  

해당 랜섬웨어는 파일 암호화가 완료되면 바탕화면을 변경하고, “YOU ARE HACKED”라는 문자열이 쓰인 트럼프 미국 대통령 사진을 출력한다. 공격자는 72시간 이내에 파일 복호화 비용으로 $150 달러(한화로 약 17만원)를 자신의 비트코인 지갑으로 보내줄 것을 요구한다.

[그림 2] 변경된 바탕화면과 미국 대통령 트럼프 사진 메시지

 

바이로봇 업데이트 내역

 

Trojan.Win32.TrumpLocker

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html 

 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담