최근 iswr 랜섬웨어가 국내에 유포 중인 것으로 드러났다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 ‘iswr’이라는 확장자가 추가로 붙는 특징이 있다. 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 갖지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴은 STOP 랜섬웨어와 많이 다르다. 안랩 ASEC 분석팀에 따르면 iswr 랜섬웨어가 실행되면 암호화는 25초 후에 작동하며, 파일 크기가 대체로 작은 확장자를 가진 파일들을 먼저 암호화한다. 그다음으로 파일 크기가 대체로 큰 확장자를 가진 파일들을 암호화시킨다. 암호화 대상은 모든 드라이브 내 아래 확장자를 가진 모든 파일이다. 또한, 파일 크기가 작은 암호화 대상 확장자 목록은 pdf, doc, doc..