비트코인 대신 인질 요구하는 잔인한 랜섬웨어

랜섬웨어에 감염된 사람이라면 누구나 복호화 키를 찾아 헤맨다. 하지만 강력한 암호화로 인해 공격자에게 비트코인을 지불하지 않고 복호화 키를 구한다는 것은 거의 불가능한 일이다. 그런데 여기 친절하게 복호화 키를 '무료'로 주겠다는 랜섬웨어가 있다. 바로 팝콘 타임(Popcorn Time) 랜섬웨어. 단, 나를 대신할 2명의 희생자를 넘겨 준다면 말이다.​

팝콘 타임 랜섬웨어는 파일을 실행할 경우 [그림 1]과 같이 프로그램이 설치되는 것처럼 위장한다. 

그사이 PC에 있던 파일을 [그림 2]와 같이 ‘filock’ 확장자를 가진 파일로 암호화한다.

[그림 2] 암호화된 파일

암호화가 완료되면 [그림 3]과 같이 Personal Unique ID와 비트코인을 송금할 주소, 복호화 키를 입력하는 필드가 있는 화면으로 전환된다.

특이한 점은 복호화 키를 4회 잘못 입력할 경우, [그림 4]와 같이 ‘2시간 이내에 비트코인을 지불하지 않으면 파일이 삭제된다’는 경고창이 나타난다는 점이다. 하지만 2시간이 지난 후에도 암호화된 파일이 삭제되지 않고 재부팅 시 4번의 기회가 다시 주어지는 것으로 보아, 아직 개발 중인 랜섬웨어이거나 단지 사용자를 겁먹게 하려는 의도의 경고창으로 보인다.

[그림 4] 파일 삭제 경고창

감염 알림 메시지를 살펴보면 기존 랜섬웨어와는 다르게 복호화 방법을 두 가지 알려준다.

첫 번째 방법은 기존 랜섬웨어와 같이 비트코인을 송금하는 것이다. 두 번째 방법은 ‘The nasty way’라고 부르는 방법으로, 나를 대신해 비트코인을 내줄 2명 이상의 사람을 찾는 것이다.

[그림 5] 팝콘 타임 랜섬웨어 감염 알림 메시지 - 1

즉, 나를 대신하여 랜섬웨어에 감염될 사람을 2명 제공하면 암호화된 파일의 복호화 키를 준다는 것이다. 물론 정말 복호화 키를 주는지는 확신할 수 없다.

다른 사람을 감염시키는데 필요한 URL 주소에 접속해보면 토르(Tor) 서버 주소를 표시하고 있으나 현재는 접속이 되지 않아 어떻게 다른 사람을 감염시키는지는 확인할 수 없다.

감염 메시지에는 [그림 6]과 같이 유포자의 소속, 랜섬웨어를 유포하게 된 이유, 저장된 비트코인으로 하려는 일 등의 내용이 기재되어 있다. 비트코인을 받기 위해 인정에 호소하는 내용으로 보인다.

한 명의 희생자만 발생시켰던 기존의 랜섬웨어와는 달리, 이처럼 효과적으로 더 많은 희생자를 발생시키는 랜섬웨어가 나타나고 있다. 국내에서는 아직 큰 이슈가 되지 않고 있지만, 이러한 형태의 랜섬웨어는 언제든지 등장할 수 있다는 점을 염두에 두어야 한다.

따라서 랜섬웨어 감염을 사전 예방하기 위해 스팸 메일 열람을 자제하고 윈도우(Windows), 자바(Java), 어도비 플래시 플레이어(Adobe Flash Player) 등을 최신 버전으로 유지하는 것이 중요하다.

V3 제품에서는 팝콘 타임 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군의 진단명>

Trojan/Win32.Bitman (2016.12.15.05)​