​[그림 1] 예전 직쏘 랜섬웨어의 감염 화면 속 빌리 더 퍼펫 캐릭터 이미지

이번에 발견된 직쏘 랜섬웨어는 2016년과 마찬가지로 파이어폭스(Firefox) 관련 프로그램으로 위장했다. 작년에는 어도비 플래시 업데이트(Adobe Flash Update) 프로그램인 것처럼 위장, 배포되었다.

☞’2016년, 파이어폭스로 위장한 직쏘 랜섬웨어’

☞’2017년, 어도비 플래시 업데이트로 위장한 직쏘 랜섬웨어’


파이어폭스프로그램의 실행 파일(firefox.exe)로 위장한 직쏘 랜섬웨어를 실행하면 다른 유명 프로그램으로 위장한 파일(drpbx.exe)을 로컬 경로에 저장한다. drpbx.exe는 실제 감염된 사용자 PC 파일을 암호화하는 파일로 실행 시 [그림 2]와 같은 알림 창을 표시한다.
　

​[그림 2] 직쏘 랜섬웨어 실행 시 나타나는 알림 창

[그림 2]의 알림 창에서 확인 버튼을 클릭하면, PC 내 파일이 암호화된다. 암호화가 시작되면, 암호화된 파일의 확장자가 booknish로 변경된다. 모든 파일의 암호화가 끝난 후에는 [그림 3]과 같은 랜섬노트 이미지가 화면에 표시된다.


지난 2년 동안 발견되었던 직쏘 랜섬웨어가 영화 캐릭터 이미지와 대사를 그대로 사용한 반면 이번에 발견된 것은 미국 락 밴드의 모티브를 차용했다.

　

​[그림 3] 최신 직쏘 랜섬웨어 랜섬노트

[그림 3]의 알림 창에 표시된 “You have been weened”는 “너는 당했다”라는 의미와 ween이라는 미국 뮤지션을 일컫는 중의적 의미를 담고 있다. [그림 4]의 랜섬노트 이미지는 ween 밴드 앨범의 로고이며 booknish라는 확장자는 그들의 노래 boognish에서 따온 것으로 보인다.
　

​[그림 4] ween의 boognish 앨범 이미지

이러한 차이점을 제외하면 기존에 유포된 직쏘 랜섬웨어와 거의 동일하다. 기존 랜섬웨어의 소스를 그대로 사용했으며, 이미지, 텍스트, 확장자 등 일부만 수정해서 다시 배포된 것이다.

앞으로도 직쏘 랜섬웨어를 모방한 또 다른 유사한 형태의 랜섬웨어가 계속 나타날 수 있다. 이는 다른 랜섬웨어도 마찬가지다. 때문에 이미 알려진 공격이라고 해서 안심해서는 안된다. 영화 ‘쏘우’에서 하나씩 죽어나가는 등장인물처럼 직쏘에게 당하지 않으려면, 정식 사이트에서만 프로그램 다운로드, 백신 프로그램 정기 업데이트 등 기본 보안 수칙을 지키는 것이 중요하다.

안랩 V3 제품군에서는 최신 직쏘 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

- Trojan/Win32.Jigsaw​

[출처 : 안랩(((www.ahnlab.com)]