상위 문서: 랜섬웨어
1. 개요
랜섬웨어의 종류들.만약 랜섬웨어에 감염됐다면 ID Ransomware에 암호화된 샘플 파일이나 송금 주소가 담긴 메모 파일 혹은 이메일 주소를 업로드하면 감염된 랜섬웨어의 종류를 알 수 있다. 2022년 6월 10일 기준 1068 종류의 랜섬웨어를 감지 가능하다.
2. 미해독됨
2.1. Crypt~ 계열
- CryptoLocker
- 크립토 월(CryptoWall)=크립토디펜스: 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명하다.[1] 현재 가장 빈번하게 사용되고 있는 랜섬웨어다.
- CryptXXX: 2015년에 유행했으나 2016년 4월 카스퍼스키에서 복호화 툴을 내놓으면서 사태가 진정되기 시작했다. 하지만 2016년 5월부터 변종이 등장함에 따라 또다시 유행하기 시작했다. 카스퍼스키 복호화 툴은 원본 파일과 감염 파일 간에 용량이 차이가 안 나는 부분을 이용해서 원본과 감염 파일 간의 대조를 통해 복구하는 데 변종은 용량을 200KB를 추가시켜 복구 툴을 무력화시킨다. 또한 헤더 파일과 뒤에 의미 없는 코드를 추가시켜 복구가 더욱 힘들게 만든다. 오리지널과 변종 중 자신이 걸린 것을 확인하려면 !Recovery 메모장에 RSA4096이 적혀 있다면 오리지널이고 RZA4096이면 변종이다. RSA4096에 걸렸다면 카스퍼스키에서 복호화 툴을 다운받아 복호화하면 된다. RZA4096이라면 복호화 툴은 없었으나 no more ransom의 복구 툴을 통해 복구에 성공한 사례가 있다. CRYPT XXX 3.0 신형 변종(RZA-4096) 랜섬웨어 복호화 성공
- CrypMIC: 2016년 7월부터 기승을 부리기 시작한 CryptXXX의 카피캣이다. 2019년 11월 현재까지도 복구가 불가능한 랜섬웨어다.
- Xrypted: RSA-4096으로 암호화된다.
- Zcryptor
- WannaCry: 2017년 5월 전 세계에 피해를 준 신종 랜섬웨어다. Microsoft Windows의 SMBv2 원격코드 실행 취약점을 악용한 것으로, 기존의 방식과는 달리 인터넷만 연결되어 있어도 감염된다.[2]
- 에레버스(Erebus): 인터넷나야나 랜섬웨어 감염 사태 당시 인터넷나야나의 서버를 감염시킨 건 이 랜섬웨어의 리눅스형 변종이다.
2.2. Cerber~ 계열
자세한 내용은 Cerber 문서 참고하십시오.- Cerber Ransomware: 2016년 들어 이 랜섬웨어의 피해가 급증하고 있다. 이 랜섬웨어에 감염되면 인터넷이 강제 종료되는 현상을 시작으로 .txt, .mp3, .mp4 등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 # DECRYPT MY FILES #(내 파일을 복구하는 법)이라는 텍스트 파일과 Attention. Your documents, photo, database and other important files have been encrypted.(뜻을 해석하면 경고. 당신의 문서, 사진, 데이터 그리고 다른 중요한 파일들이 암호화되었습니다.)라고 반복해서 말하는 음성 파일, 웹 링크 등이 추가된다. 해결 방법은 해커한테 돈을 지불하거나(돈을 지불해도 먹튀하는 경우가 많다.) 전문 복구 업체한테 연락해서 복구하는 법 밖에 없다. 복구 업체도 대략 30% 정도의 낮은 복구 확률을 보이고 있다. 강제 종료할 경우 프로그램이고 뭐고 아무 것도 없는 검은색 화면으로 변경됨과 동시에 다른 랜섬웨어가 그렇듯 제어판 및 프로그램 실행 불가 등 PC의 기능이 마비된다.[3] 강제 종료 후 현금 요구창도 없어지지만 정말 아무 것도 없는 검은 화면과 마우스 뿐이라는 게 문제다.
- CERBER3: 위에서 서술한 cerber의 변종이다. 감염 시 파일의 확장자를 .cerber3으로 변경하고, 평균적으로 1BTC을 요구한다. 운이 좋다면 확장자 변경만 된상태로 정상적으로 사용을 할수 있다(...). 모든 폴더 경로마다 결제를 위한 파일( @____READ ME___@ )을 생성해 둔다.
- CERBER4, 5, 6: cerber의 변종으로 2016년 10월부터 계속적으로 업데이트 되고 있다. 파일명을 랜덤으로 임의 수정하고 파일의 확장자를 랜덤으로 4자리(주로 알파벳+숫자의 형태로 변한다)로 수정 후 암호화하며, README.hta 나 _README_.hta 또는 R_E_A_D__T_H_I_S.[Random].hta 파일을 생성한다. 2017년 2월 현재 복호키가 없다. 여담으로 일반적인 CERBER형 랜섬웨어의 경우 초록색 글씨의 형태를 취하나 CERBER6은 붉은색 바탕에 흰색 글씨를 쓰는 방식을 취한다. CERBER6은 버전명을 쓰지 않는다.
- CRBR Encryptor: 2017년 중반부터 새롭게 등장한 변종. 비트코인 탈취 기능이 추가되었다.
2.3. Magniber 계열
자세한 내용은 Magniber 문서 참고하십시오.- Magniber Ransomware : 사실상 Cerber 랜섬웨어의 후속작. 2019년 현재까지도 많은 피해 사례가 보고되고 있는 랜섬웨어이다. 주로 윈도우나 IE의 오래된 보안 취약점을 이용하여 감염되므로 보안 업데이트가 미비한 PC가 감염되기 쉽다. 감염되면 'readme.txt'라는 랜섬노트가 생성되는 것이 특징이다. 2018년 4월 안랩에서 복호화 툴이 나왔다. 이후 변종인 V2가 나왔으며, 2022년 6월 현재까지 복호화 툴은 배포되지 않았고 추후 배포될 가능성도 낮아 보이므로 대비가 필요하다. 최근엔 개인정보 유포 협박 문구가 추가됐지만, 피해 사례는 보고된 적이 없다.
2.4. ~Locker 계열
- 시놀락커(SynoLocker): 시놀로지 NAS에 감염되는 랜섬웨어다. 구버전 DSM 사용자는 최신 DSM 사용을 권장한다.
- 나부커(=NsbLocker): 가장 약한 형태이다. 복호화 키를 요구하지 않기 때문에, V3를 포함한 어지간한 백신으로도 암호 해제가 가능하다.
- 크리트로니(=CTBLocker)
- TorLocker: 일본의 5ch의 유저[4]에 의해 제작된 랜섬웨어이다. 다른 랜섬웨어와 비슷한 시스템을 채택하고 있다. 주로 일본에서만 많이 감염되는 경우가 많으며, 일본 사이트를 자주 경유하는 국내의 컴퓨터도 감염 사례가 있다. 복호화 툴은 몇 가지 있지만 제대로 복구해주는 툴은 없다. 과거엔 2ch 게시판 이용자끼리 서로 골려먹으려는 용도로 쓰였지만 현재도 계속 업데이트가 진행되고 있고, 2019년 초를 기점으로 변종이 생겼다.
- Locky: 이쪽은 Locker 계통 중에서 가장 막강한 유형의 랜섬웨어다. RSA-2048과 AES-128 유형의 암호화 기법을 사용한다. 국내도 타깃으로 하는 랜섬웨어로, hwp 까지 암호화하며 Office 의 매크로를 통해 일부 기관 등에 유포되었다. 2016년에는 이 랜섬웨어가 악명을 떨쳤다. 주로 스팸 메일을 통하여 유포되며, 가끔씩 자신에게 쓴 메일인 척 위장하는 경우도 있으므로 주의해야 한다. 제목이 Invoice(송장)[5], Document(문서)로 시작한다면 일단 의심해 봐야 한다. zepto, thor, odin, loptr, osiris, zzzzz, aesir, shit, diablo6, lukitus, ykcol, asasin 등의 형태로 바꾸는 변종도 등장했으며 2017년 10월에도 복호화 키를 찾지 못한 상태다. 참고로 이 랜섬웨어는 몸값이 0.5~5비트코인까지 다양하다. 특히 asasin 유형의 변종은 그 피해 컴퓨터의 OS정보와 IP주소도 수집한다!
- FLocker: 변종으로 폴리스랜섬이 있다.
- 버록
2.5. MBR 훼손 계열
낫페트야(NotPetya)[6][7]: 2017년 6월 27일 우크라이나를 공격한 후 한동안 확산되었던 낫페트야는 처음엔 페트야의 변종이라는 추측이 대세였다. 감염 증상이 페트야와 유사하기 때문이었다. 하지만 MBR의 복사본을 보관하지 않기에 복호화 키를 얻어도 실제로는 복구할 수 없다는 점 등 이상한 점이 있어 보안 전문가들 사이에서도 페트야와 다른 신종 랜섬웨어라는 의견이 나오는 등 의견이 분분했고(낫페트야와 페트야의 차이도 참조), 6월 30일 이후로는 랜섬웨어인 척 하는 와이퍼 악성코드일 가능성이 높아졌다(분석 보고서 내용). 워너크라이처럼 NSA의 이터널블루를 이용한 거나, 복호화 키를 줄 테니 비트코인을 보내라고 하는 건 랜섬웨어인 척 해서 실제 목적을 감추려고 한 것 같다고 한다. 해외 언론에선 그 후 낫페트야가 랜섬웨어가 아닌 걸로 수정된 곳이 많지만, 한국 언론은 10월에도 랜섬웨어인 걸로 보도하는 곳이 대부분이다. 10월에는 낫페트야와 마찬가지로 NSA의 취약점 공격 소스 중 하나인 이터널로맨스를 이용해 낫페트야의 변종으로 추정되는 랜섬웨어 배드 래빗(Bad Rabbit)[8]이 등장했다.#
그나마 UEFI 환경에서 감염이 된 경우에는 펌웨어 파티션만 다시 밀어버리고 새로 잡아주면 되기에 윈도우를 통째로 날릴 필요가 없이 복구하기가 쉬운 편이다. 더구나 5년 전부터는 MBR보다는 UEFI 환경으로 윈도우가 설치된 경우가 많아서 낫페트야가 확산되어도 생각 외로 타격이 크지 않다고 볼 수 있다.- 산타나(Santana): 페트야와 비슷한 증상을 일으키나 암호화 방식이 페트야와 다르다.
- 골든아이(goldeneye): 미샤와 페트야의 극상위 호환 버전이며 파일, MBR까지 쌍으로 암호화시켜 버린다. 그러나 사용자 계정 컨트롤에서 아니오를 누를 경우 파일만 암호화한다.[9]
- badrabbit
2.6. 그 외
- ransom32(랜섬32): 기존의 랜섬웨어는 웹과 관련된 취약점을 이용하여 감염되는 반면, 이 랜섬웨어는 정상 파일을 가장하여 사용자가 직접 다운로드한 뒤 실행까지 해야 실행되는 랜섬웨어로 조금만 주의한다면 공격당할 가능성은 낮은 편이다. # Node.js로 개발되었다.
- radamant: 확장자 rrk(변종으로 rmd). 한국어로 안내해줄 뿐 아니라 알집 확장자인 alz까지 변환해 버린다.
- KoreanRansomware: 국산 랜섬웨어. 카카오톡 설치 파일로 위장하였으며, 감염 후 나타나는 화면도 한국어로 되어있다.
- Gandcrab: 2019년 6월 v1,v4,v5.2 버전은 복호화 툴이 공개되어 무료 복호화가 가능하지만, v2와 v3의 경우 아직 복호화 툴이 존재하지 않는다.
- 하쿠나 마타타: 보안뉴스에서 최초로 보도를 냈고, 안랩이 뒤이어 분석했다.
3. 해독됨
이 목록의 랜섬웨어들은 현재 여러 가지 이유로 무력화된 상태의 랜섬웨어들이다. 주로 개발자의 검거나 보안 전문가들의 노력으로 복호화 키나 소스 코드가 풀려서 해독된다. 장난으로 개발한 조크 랜섬웨어를 배포하고 복호화 키를 그냥 푸는 경우도 있다.- 테슬라크립트(TeslaCrypt): CryptoLocker와 크립토 월을 조합해서 만들어진 랜섬웨어다. 이건 문서 파일 등 외에도 게임 파일을 노린다는 점에서 개인도 주 타깃으로 삼고 있고 있었다. 4.0까지 출몰하면서 복호화가 어려웠었으나, 2016년 5월 제작자가 범행을 중단하고 마스터 키를 공개하였기 때문에 TeslaDecoder 툴을 받으면 복구가 가능하다. TeslaCrypt shuts down and Releases Master Decryption Key 위와 같은 페이지의 번역본이다. 랜섬웨어침해대응센터
- GandCrab 랜섬웨어: v1의 경우 GDCB, v2, v3의 경우 CRAB, v4의 경우 KRAB, v5의 경우 5~10자리 랜덤 확장자로 암호화하고[10] 모든 파일 안에 메모장을 남겨 놓는다. 메모장에 써 있는 대로 Tor를 깔고 링크에 접속하면 해커가 원하는 돈의 양과 남은 시간을 알 수 있다. 2019년 6월 v1,v4,v5.2 버전은 복호화 툴이 공개되어 무료 복호화가 가능하지만, v2와 v3의 경우 아직 복호화 툴이 존재하지 않는다. GandCrab v1,v4,v5.2 복호화 도구 갠드크랩 랜섬웨어의 개발자는 서비스형 랜섬웨어인 'GandCrab'의 개발을 중단하겠다고 밝혀, 2018년 1월 처음 등장해 많은 피해 사례가 보고되었던 갠드크랩 랜섬웨어는 그 수명이 끝난 것으로 보인다. 출처 Sodinokibi가 출현하기 전에는 이 GandCrab이 네봄이 사이트를 통해 유포되었다.
- Sodinokibi: 갠드크랩 랜섬웨어의 변종으로 현재 국내 URL을 통해 감염시키고 있다. 이 랜섬웨어는 어떤 파일을 내려받기 위해 구글링을 하는 사람들에게 네봄이 사이트라는 가짜 페이지를 띄워서 그 사람이 찾는 파일로 위장하며, 그 파일을 받아 실행하면 랜섬웨어에 감염된다. 이 랜섬웨어에 감염되면 배경이 갠드크랩 랜섬웨어와는 달리 파란색 배경화면으로 변경되고 파란색 배경화면에 써있는 텍스트에는 랜섬노트를 열어서 돈을 지불하라고 안내하고 있다.
- 토렌트락커: 아래에 서술될 2015 랜섬웨어 사태에서 퍼진 랜섬웨어인 Crypt0l0cker의 원형이다. 이름이 이름인지라 Crypt0l0cker가 CryptoLocker의 변형이라고 많이 알려져 있으나, 사실 토렌트락커의 변형이다. 직접 구글에 영어로 torrentlocker라고 쳐 보면 알 수 있다. 이미지를 보면, 2015년에 유행했던 Crypt0l0cker와 매우 유사함을 알 수 있다.
- CryptoWall 3.0 : 확장자를 바꾸지 않는 버전은 아직 해독이 되지 않은 상태이다.
- 비트크립터(Bitcryptor)
- 코인벌트(CoinVault): 제작자/유포자가 네덜란드 경찰에 검거되었다.
- 페트야(Petya): MBR 영역을 감염시키는 랜섬웨어. 항목 참고.
- 마이컴고: PC 보안 프로그램을 가장한 트로이 목마 랜섬웨어.[11] 동명의 회사에서 개발되었다. "중요한 파일을 숨겨서 타인이 볼 수 없게 해주거나 타인으로부터 유출되지 않도록 완벽하게 보호"[12]해 준다고 하지만, 파일을 찾을 때에는 월정액 9900원을 내야 한다.]] 특히 영상 파일들을 노리며, 심지어 폴더로 분류를 해 놓은 것들을 같은 이름의 폴더끼리[13] 합쳐 버린다. 그러다가 어느 날 회사 자체가 사라졌다. 랜섬웨어라는 개념이 없던 시대에 개발된 악성코드라 그런지 현재의 랜섬웨어에 비하면 굉장히 착한 편이다(...).
- Hidden-Tear: GitHub에 올라왔던 최초의 오픈 소스 랜섬웨어. 교육용(...)으로 만들었다고 하며, 사용된 언어는 C#이고 최소한의 기능인 키 생성, 암호화, 복호화만 구현해서 코드가 200줄도 안 된다. 코드 주석이나 랜섬노트에 적혀 있는 Remove Kebab 드립은 덤. 스크립트 키디를 방지하기 위해 취약점이 있었다.[14] 그래도 해당 취약점을 고치고 필요한 기능을 더 추가하는 방식 등으로 악용되었다. 현재는 코드 내에 기본으로 적혀 있는 서버의 도메인이 만료되어 코드를 수정하지 않으면 작동하지 않는다.
- eda2: Hidden-Tear의 제작자가 동일한 목적으로 만들고, GitHub에도 소스가 올라왔지만 이것은 알려진 취약점이 없었다. 결국 악용 사례가 나오자 2016년 3월에 제작자가 서비스를 중단했다.
- OSX.KeRanger: macOS에서만 동작한다. Transmission을 해킹하여 그 안에 집어넣었다. 현재는 XProtect로 인해 macOS에서 실행 자체가 불가능하다.
- OSX.EvilQuest: macOS에서만 동작한다. 랜섬웨어와 스파이웨어를 융합한 신박한 물건인데, 암호화를 공개키 암호가 아니라 대칭 열쇠 암호 방식으로 해서 금방 해독됐다.
- 직쏘 (Jigsaw): 파일 변조 유형 랜섬웨어 중에서도 페트야 다음 가는 최악의 파괴력을 자랑하는 랜섬웨어다. 다른 랜섬웨어와는 다르게 파일을 암호화하는 대신 게임을 시작하자는 메시지와 함께 영화 쏘우 시리즈의 빌런 직쏘의 사진을 띄우고 돈을 입금하지 않으면 1시간마다 파일 하나를 날리며, 강제 종료 시 파일을 전부 파괴하도록 설계되어 있다. 하지만 뚫렸다. 이 영상에 복호화 방법이 나와 있으니 참고하면 된다.
3.1. 개그성 랜섬웨어
- 련선웨어: 어느 한국인 개발자가 GitHub에 올린 오픈소스 랜섬웨어다. 동방성련선 2억 점 달성이라는 독보적인 복호화 방법을 가지고 있으며, 이후 개발자 본인이
호되게 깨진 후복호화 툴을 내놓았다. - 랜섬호스: GitHub에 올라온 련선웨어를 패러디한 신종 랜섬웨어. 복호화 방법은 히어로즈 오브 더 스톰을 1시간 플레이하는 것이다. 이 랜섬웨어 역시 복호화 툴이 있다. 실행 파일과 소스 코드까지 있지만 널리 퍼져서 내렸다. 2018/1/11에서 또 다른 랜섬호스가 발견되었다. 앱체크 정보 LOL Helper로 위장하며, Base64로 암호화하는 기존 랜섬호스와 달리 이 쪽은 RSA로 암호화를 한다. 그리고 소스 코드와 복호화 툴도 제공하지 않고 있다. 이것을 만든 목적은 오직 친구에게 장난용으로 쓰라고 한 것이다. 그리고 무슨 일이 일어나도 제작자가 책임지지 않겠다고 적혀 있었다.개발자정보 2022년 1월 28일 스트리머 라디유가 친구가 마인크래프트 컨텐츠용 런처라며 준 파일을 열었다가 감염되어 꼼짝없이 1시간동안 히오스를 플레이해야 했다(...)영상
- 스탈린락커(StalinLocker) : 2018년 5월경 등장한 랜섬웨어로, 러시아 보수주의자에 의해 만들어졌다. 자세한 내용은 스탈린락커 참고.
- RansomMine(랜섬마인): 위의 랜섬호스나 련선웨어와 비슷하다. 복호화 조건은 마인크래프트를 1시간 이상 플레이하는 것이다.체크멀 정보 암호화는 AES-256 알고리즘으로 하며 고정된 복호화 키로 복호화할 수 있도록 제작되었다. 사실은 배포 의사가 없었고 바이러스 토탈에 올려서 몇몇 백신이 바이러스로 감지되는지는 테스트했으나, 그게 인터넷에 퍼져서 이렇게 되었다고 한다. 지금은 복호화 툴이 공개되었다.GitHub 또한 여담으로 이 제작자가 만든 또 다른 랜섬웨어가 있는데, 바로 StarCraftWare이다. 실행 시 Base64로 파일을 암호화하고 스타크래프트: 리마스터 키를 입력하라고 뜨는데. 실제로는 아무 거나 입력해도 된다고 한다.(서버로 전송하지도 않는다.) 결국 StarCraftWare는 낚시 목적으로 만든 셈이다.
- 애나벨: 감염되면 파일을 .annabelle 확장자로 암호화하고, 이상한 목소리가 나온 뒤 영화 컨저링에 등장하는 애나벨의 사진과 함께 카운트다운과 설명문이 나타난다. 컴퓨터를 다시 시작하면 카운트다운이 빨라지며[15], 카운트다운이 끝나면 컴퓨터를 먹통으로 만든다. 안전 모드로도 부팅해도 애나벨이 실행된다. 그리고 작업 관리자와 실행이 비활성화된다. 다행히 복구 방법이 있다. 영상 사실 이 랜섬웨어 또한 장난으로 만들어졌으며, 모 컴퓨터 전문 유튜버의 팬이 그에게 보여주기 위한 목적으로 만들었다고 한다. 다크넷 사이트 주소가 써 있지만 사이트 자체가 없으며, 또한 그래서인지 대놓고 제작자의 디스코드 주소가 공개돼있다. 물론 다크넷 사이트 외에 다른 것들(파일 암호화 등)은 진짜다.
- 나치(...) 랜섬웨어: 랜섬웨어 자체는 평범하지만, 바탕화면이 나치독일 국기로 바뀌고, 히틀러 사진이 걸리는 등 이상한 랜섬웨어다.
만든사람의 정체는 뭘까?[16]
[1] 적어도 500 US달러를 요구한다. 그리고 이는 크립토 월을 일정 부분 이은 테슬라크립토도 마찬가지이다.[2] 물론 업데이트를 하지 않은 컴퓨터만 해당된다.[3] 단 강제 종료한 시점에서 프로그램 암호화는 멈춘다.[4] 과거엔 일본어로 나왔지만 변종판이자 최신판의 랜섬웨어 화면엔 한국어와 위안부 소녀상이 표시되어 있다. 이는 실 제작자가 랜섬웨어를 한국에서 만든 것으로 보이게 하려고 의도적으로 한국어를 넣은 것이다. 자세히 보면 한국어 번역이 매우 어설픈 것을 볼 수 있다. 즉 일본의 혐한 해커에 의해 한국을 범인으로 몰고가려는 작전인 셈이다.[5] 이런 경우 발신자를 FedEx나 미국우정공사(USPS) 같은 택배와 관련된 곳으로 사칭하고는 "배송 실패" 혹은 "배송 확인" 어쩌고 하는 내용의 제목과 함께 첨부 파일이 딸려 온다.[6] 랜섬웨어가 아닌 와이퍼 멀웨어이다.[7] 명칭에 주의해야 한다. 낫페트야에겐 명칭이 여럿인데, 문제는 이 때문에 혼란을 일으키기 쉽다는 것이다. 페트야의 변종으로 여겨졌기 때문에 페트야라고 부르는 사람들이 많고(2017년 10월부타 언론 등에서 말하는 '페트야 랜섬웨어'는 대체로 원래의 페트야가 아니라 낫페트야를 가리킨다(내용상 '2017년 6월의 페트야'를 말한다면 그건 낫페트야다.).), 그 다음으로 널리 알려진 명칭이 낫페트야, 엑스페더(ExPetr)다. '페트야 핑크 코랄'이라고도 불린다.[8] 배드 래빗은 낫페트야와 유사한 점이 많지만 다른 점도 여럿이라고 한다. 일단 배드 래빗은 랜섬웨어로 보이며, 이터널블루를 이용하지 않는다고 한다.[9] 사용자 보안 옵션을 한 단계 낮추면 손대지 않고 그대로 둘 수 있다.[10] 최근 버전은 V3, AVAST, 윈도우 디펜더를 소리 소문 없이 삭제하거나, 비활성화시킨다. 앱체크와 같은 보조 백신 사용이 권장된다.[11] 회사와 프로그램이 살아있던 시절에는 UCCC라는 사이트의 ActiveX에 몰래 숨겨서 설치되도록 하다가 사람들의 원성에 홈페이지 한쪽에 배너 형태로 바꿔서 설치할지 말지 사용자가 선택하도록 하는 방식으로 바꿨었다.[12] 공식 블로그의 소개문 일부를 그대로 옮겨 왔다.[13] 예를 들어 상위 폴더가 연도, 하위 폴더가 월이면 연도는 무시하고 1월은 1월끼리 뭉쳐 놓는다는 뜻이다.[14] 난수 생성 알고리즘이 C# 기본 제공 알고리즘이고, salt가 1에서 8 사이의 정수(int) 1바이트로 고정되어 있는데다 비밀키를 서버로 전송할 때 평문으로 보낸다. 취약점을 고치지 않으면 브루트 포스로도 해독된다.[15] 30배정도. 3~8씩 1초에 3~4회.[16] 여담으로, 과거에 HitlerLocker와 CainXPii Ransomware(Hitler 2.0)이라는 진짜 나치 랜섬웨어가 있었다.