보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

항의 메일로 위장한 갠드크랩 랜섬웨어, 주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-05-02

최근 ‘이미지 무단 사용 항의’ 등의 제목과 내용으로 위장한 이메일을 통해  갠드크랩 랜섬웨어가 유포되고 있다. 일전에 취약한 웹사이트에 접속하는 것만으로도 감염돼 피해를 입혔던 갠드크랩 랜섬웨어가 이번에는 악성 이메일로 위장한 것이다.

 

  

[그림 1] 저작권 위반 항의 메일로 위장한 스팸 메일 

 

[그림 1]은 갠드크랩 랜섬웨어 유포에 사용된 스팸 메일이다.이 악성 스팸 메일은 수신자가 개인 제작자의 창작물을 무단 사용하고 있으니 해당 콘텐츠와 관련 내용을 정리한 첨부 파일을 확인하고 조치를 바란다는 내용을 담고 있다. 무단 사용에 대한 조치가 없으면 법적 제재를 가하겠다는 내용으로 수신자의 심리를 압박하고 있다. 

 

메일에 첨부된 파일은 [그림 2]와 같이 .egg 형태의 압축 파일로, 파일 내부에는 [그림 3]과 같이 그림 파일, 문서 파일, 실행 파일이 포함되어 있다. 

 

 

[그림 2] 메일에 첨부된 파일

 

 

  

[그림 3] 압축 파일 내부 악성파일

 

압축 파일 내부의 실행 파일은 숨김 파일로 설정되어 있어 숨김 파일, 폴더 및 드라이브를 표시하도록 설정해 놓지 않은 사용자라면 실행 파일이 포함되어 있는 것을 알 수가 없다.

 

또한, 압축 파일 내부에 있는 이미지와 문서 파일은 모두 위장된 파일로, 실제로는 [그림 4]와 같이 바로가기 파일이다. 이를 알리 없는 사용자가 해당 파일을 실행하면, 숨김 속성으로 설정된 랜섬웨어가 실행된다. 이때 랜섬웨어는 일부 확장자를 제외하고 거의 모든 파일을 암호화한다.

 

  

[그림 4] 바로 가기 파일로 위장한 이미지 파일의 속성

 

이후 [그림 5]와 같이 갠드크랩 랜섬노트가 나타된다. 랜섬노트가 유도하는 주소를 접속하면 금전을 요구하는 페이지가 열리며 2000달러(한화 약 216만원)에 해당하는 암호화폐를 요구하고 있다. 

 

 

 

[그림 5] 갠드크랩 랜섬웨어 감염 화면 및 금전 요구 페이지

 

랜섬웨어는 계속 변형된 형태로 끊임없이 유포될 뿐만 아니라 감염 시 금전적인 피해로 연결되고 있으므로 감염 예방을 위해 사용자들의 주의가 필요하다.

 

한편, 안랩은 지난 4월 25일, 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그 및 홈페이지를 통해 갠드크랩(GandCrab) 2.1 버전 대응 방법을 공유했다. 

► ‘갠드크랩 랜섬웨어 감염 확산 중...대응 방법은?’ 더 보기

 

또한 V3 제품군에서는 해당 갠드크랩 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명>

- LNK/Starter

- LNK/Venuslocker

- Trojan/Win32.Gandcrab

 

  • AhnLab 로고
  • ASEC대응팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.