이름부터 불쾌한 ‘데쓰랜섬(DEATHRansom)’이라는 새로운 랜섬웨어가 국내에서 발견됐다. 데쓰랜섬의 외형 정보가 최근 유포된 랜섬웨어나 채굴 악성코드, 정보 탈취형 악성코드 등에 자주 사용되고 있다는 점이 주목을 끌고 있다.

지난 11월 20일, 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC) 분석가들이 새로운 랜섬웨어인 데쓰랜섬(DEATHRansom)을 발견했다.  데쓰랜섬은 해외에서 처음 발견됐으나, 당시 코드 상의 문제로 별 다른 파급력은 주지 못했다. 그러나 11월 20일을 기점으로 더욱 강력한 암호화 기법을 탑재한 데쓰랜섬이 국내외에서 동시다발적으로 다시 나타난 것. 그러나 현재까지 구체적인 유포 경로는 알려지지 않아 사용자들의 각별한 주의가 요구된다.

데쓰랜섬이라고 부르는 이유는 이 랜섬웨어가 금전 요구를 위해 노출하는 랜섬 노트에 [그림 1]의 빨간색으로 표시된 부분과 같이 ‘DEATHRansom’이라는 텍스트가 포함되어 있기 때문이다. 데쓰랜섬은 일부 폴더와 파일을 제외한 대부분의 파일과 폴더를 암호화한다. 암호화 후 확장자를 변경하지는 않지만 폴더마다 [그림 1]의 랜섬 노트인 "read_me.txt" 파일을 생성한다.

[그림 1] 데쓰랜섬의 랜섬 노트

ASEC의 분석 결과, 이 랜섬웨어는 지난해 활발히 유포된 바 있는 갠드크랩(GandCrab) 랜섬웨어를 비롯해 블루크랩(BlueCrab, 일명 Sodinokibi) 랜섬웨어, 또 올해 9월 확인된 넴티(Nemty) 랜섬웨어와 동일한 패커(Packer)를 사용하고 있다. 이 패커는 랜섬웨어뿐만 아니라 암호화폐 채굴 악성코드(마이너, Miner)와 사용자 정보 탈취형 악성코드에도 사용되고 있다.

V3는 데쓰랜섬을 다음과 같은 진단명으로 탐지하고 있다. 또한 행위 기반 기술을 이용해 [그림 2]와 같은 탐지 알림창을 제공한다.

<V3 제품군 진단명>

- Trojan/Win32.MalPe.R300037 (2019.11.20.03)

- Win-Trojan/MalPeU.mexp (2019.11.21.00)

[그림 2] V3의 행위 탐지 알림창