바탕화면에 도넛이?...'도넛 랜섬웨어' 주의보

바탕화면에 도넛이?...'도넛 랜섬웨어' 주의보

체크멀(대표 김정훈)은 파일 암호화 후 바탕화면 작업 표시줄을 따라 도넛이 굴러다니는 도넛(Donut) 랜섬웨어가 확인됐다고 27일 밝혔다.

이달 해외에서 첫 발견된 도넛 랜섬웨어는 히든티어 오픈 소스 기반 랜섬웨어다. 456종 파일 확장명에 대해 암호화를 실행한다. 〃파일 암호화가 완료된 파일에는 '.donut' 확장명이 추가되며 암호화된 폴더에는 'decrypt.txt' 결제 안내 파일이 생성된다.

AES CBC 암호화 알고리즘을 이용해 암호화 대상 파일이 위치한 폴더에 '<원본 파일명>.<원본 확장명>.donut 파일(0 바이트)'을 먼저 생성 후 4096 바이트(Bytes)씩 원본 파일을 읽는다. 사전에 생성한 <원본 파일명>.<원본 확장명>.donut 파일에 쓰기를 진행하는 방식으로 암호화를 진행한다.

마지막 단계에서 원본 파일을 삭제 처리하는 방식으로 종료된다. 실행 후 파일 암호화 진행 중에 바탕 화면 배경 변경, 메시지 창 생성, 작업 표시줄 상단에 도넛이 굴러가는 시각적 메시지를 표시한다.

체크멀 관계자는 “도넛 랜섬웨어는 기존 공개된 히든티어 오픈 소스 코드를 활용해 제작했다”면서 “언제든 다양한 형태 랜섬웨어 유포가 발생할 수 있을 것”이라고 말했다.

정영일기자 jung01@etnews.com