출처 : http://www.dailysecu.com/?mod=news&act=articleView&idxno=25910
지난 11월 6일 한국 14살 학생이 개발한 것으로 추정되는 새로운 Blacklistcp 랜섬웨어가 등장했다. 제작자는 해외에서 공개된 오픈소스 기반의 '히든 티어(Hidden Tear)' 랜섬웨어 소스를 활용했다. 한편 이 학생은 14일 유튜브 등에 자신의 잘못을 인정하며 죄송하다는 사죄의 글을 남겼다.
이 랜섬웨어는 PDF 문서파일 아이콘으로 위장하고 있으며 제작자는 'BlackListCP'라는 이름으로 명명했다. 랜섬웨어가 작동하면 약 158종의 확장자를 대상으로 암호화 작업을 진행한다.
암호화가 완료되면 바탕화면 경로에 'notice.txt' 이름의 랜섬노트를 생성하고 한국어와 영문으로 감염사실을 안내한다. 그리고 제작자의 계정인 'SkyDragon7845'라는 아이디와 특정 웹 사이트 URL 주소를 보여주게 된다. 해당 웹 사이트로 접속을 하게 되면 'YouTube', 'Twitch' 링크가 다시 보여지게 된다.
특히 해당 동영상 웹 사이트에는 'BlackListCP' 랜섬웨어 감염 동영상과 함께 전 세계적으로 이슈가 된 바 있는 '워너크라이(WannaCry)', '페트야(Petya)' 랜섬웨어 감염 동영상도 올려져 있다.
랜섬웨어에 감염되면 컴퓨터에 존재하던 주요 파일들이 암호화되고 원본파일에 'blacklistcp' 확장명이 추가된다. 그리고 바탕화면 경로에 생성된 랜섬노트를 생성해 이용자로 하여금 특정 웹 사이트로 접속을 안내하게 된다.
해당 악성프로그램 제작자의 동영상 사이트를 살펴보면 이미 다양한 랜섬웨어에 관심을 가지고 있는 것으로 보이며 실제 오픈소스를 활용해 직접 랜섬웨어 제작까지 한 상태다.
보안업체 측은 “아무리 단순 호기심이나 장난이라도 랜섬웨어를 제작하는 것은 매우 위험한 행위이며, 현재 이 랜섬웨어는 정상적으로 감염활동이 가능한 상태이기 때문에 각별한 주의가 필요하다”며 “보안기업들은 한국인터넷진흥원(KISA)과 신속하게 관련 정보를 공유해 확산 및 피해 최소화에 긴밀하게 협력하고 있다”고 전했다. 이번 랜섬웨어 제작자로 추정되는 학생은 유튜브에 다음과 같은 글을 남겼다.
<모두에게 죄송합니다. 저는 이 사건을 해결하기 위해 바이러스 토털에 파일 삭제 요청 메일을 보냈으며, 킬 스위치 시도를 했습니다. 킬 스위치가 제대로 작동하길 빌고 있습니다. 우선 14살에 오픈소스를 참고해서 바이러스를 제작한 이유가 공부에 목적이기 때문에 파일을 배포할 생각이 전혀 없었습니다. 바이러스 토털에 업로드할 때 저는 그 누구도 제 바이러스를 받을 수 없는 줄 알았습니다. 제 바이러스는 바이러스 토털을 제외하면 업로드한 곳이 없음을 밝힙니다. 복호화툴 제작은 거의 불가능하다고 생각합니다. 저는 서버에 키를 저장하지 않은 걸로 기억하며 복호화가 불가능하다고 생각합니다. 저는 반성을 위해 2018.01.01까지 대부분 활동을 하지 않을 것이며, 앞으로 바이러스 제작을 하지 않겠습니다. 저도 더 이상 살고 싶지 않습니다.
저도 이 사건을 해결하고 싶습니다. 제가 왜 바이러스 토털에 업로드했는지 후회됩니다. 다시 한번 모두에게 죄송합니다.>