News

체크멀의 모든 소식을 빠르게 전해드립니다.

안티랜섬웨어 전문기업 체크멀(대표 김정훈)은 파일 암호화 후 바탕화면의 작업 표시줄을 따라 도넛이 굴러다니는 Donut 랜섬웨어가 확인되었다고 밝혔다.


올해 6월 해외에서 첫 보고가 이루어진 Donut 랜섬웨어는 Hidden-Tear 오픈 소스 기반 랜섬웨어로, 456종의 파일 확장명에 대해 암호화가 실행된다.
파일 암호화가 완료된 파일에는 .donut 확장명이 추가되며, 암호화된 폴더에는 decrypt.txt 결제 안내 파일이 생성된다.

 

AES CBC 암호화 알고리즘을 이용하여 암호화 대상 파일이 위치한 폴더에 <원본 파일명>.<원본 확장명>.donut 파일(0 바이트)을 먼저 생성한 후, 4,096 바이트(Bytes)씩
원본 파일을 읽고사전에 생성한 <원본 파일명>.<원본 확장명>.donut 파일에 쓰기를 진행하는 방식으로 암호화가 진행된다.

마지막 단계에서 원본 파일을 삭제 처리하는 방식으로 종료되며, 실행 후 파일 암호화 진행 중에 바탕 화면 배경(%Temp%\wallpaper.bmp) 변경, 메시지 창 생성,
작업 표시줄 상단에 도넛이 굴러가는 시각적 메시지를 표시한다.

 

도넛 랜섬웨어는 기존에 공개된 Hidden-Tear 오픈 소스 코드를 활용하여 제작이 이루어졌다는 점에서 언제든지 다양한 형태의 랜섬웨어 유포가 발생할 수 있을 것으로 보인다.

체크멀 관계자는 “도넛 랜섬웨어에 의해 파일 암호화 행위가 실행될 경우 앱체크 안티랜섬웨어는 이를 탐지하고 차단하기 때문에 해당 제품을 통해 시스템을 보호시기 바란다”고
당부했다.

List

위로