도널드 트럼프 미국대통령을 주제로 한 랜섬웨어가 등장했다.
하우리(대표 김희천)는 트럼프를 주제로 한 `트럼프락커`가 이메일로 전파돼 주의를 당부했다.
이메일에 첨부된 압축 파일을 해제하면 PDF로 위장한 실행파일이 존재한다.
기존에 국내 맞춤형으로 유포되는 `비너스락커(VenusLocker)` 랜섬웨어와 동일한 소스코드로 제작됐다.
트럼프락커는 `볼륨 쉐도우 복사본(Volume Shadow Copy)`을 삭제해 윈도 복원을 불가능하게 한다. 주요 파일들을 암호화하며 `.TheTrumpLockerf`, `.TheTrumpLockerp` 확장자로 변경한다.
해당 랜섬웨어는 파일 암호화가 완료되면 바탕화면을 변경하고, “YOU ARE HACKED”라는 문자열이 쓰인 트럼프 미국 대통령 사진을 출력한다. 공격자는 72시간 이내에 파일 복호화 비용으로 $150 달러(한화로 약 171만원)를 자신의 비트코인 지갑으로 보내줄 것을 요구한다.
김종기 보안분석팀 연구원은 “이메일 첨부파일을 통한 악성코드 유포는 매우 기본적인 방식이지만 의외로 많은 사람들이 감염된다”면며 “출처가 불분명한 이메일 열람을 자제하고, 첨부파일 확장자를 확인해 랜섬웨어에 감염되지 않도록 주의가 필요하다”라고 밝혔다. 하우리 바이로봇에서는 해당 랜섬웨어를 `Trojan.Win32.TrumpLocker` 진단명으로 탐지·치료한다.
김인순 보안 전문기자 insoon@etnews.com
