보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

새로운 랜섬웨어, 익숙한 길을 택하다…왜?

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-05-08

최근 새로운 랜섬웨어가 피싱 사이트를 통해 유포되는 것이 확인되었다. 그런데 해당 피싱 사이트는 갠드크랩 랜섬웨어 유포에 사용된 바 있다. 같은 방식, 같은 경로를 이용한 공격에 여전히 피해가 발생하고 있어 사용자들의 더욱 각별한 주의가 요구된다. 이와 관련해 새로운 랜섬웨어가 기존 갠드크랩 랜섬웨어와 어떤 점이 같고 어떻게 다른지 알아본다. 

 

이번에 확인된 새로운 랜섬웨어는 갠드크랩(GandCrab) v5.2가 유포된 피싱사이트를 통해 유포되었다. 유포지뿐만 아니라 백신 제품의 탐지를 피하기 위해 PC에 다운로드된 후 20분이 지나 악성 행위를 하는 점, 또 스크립트 파일의 내부 정보와 인코딩된 정보까지도 갠드크랩 v5.2와 동일하다.

 

다만 새로운 랜섬웨어는 감염 방법에서 갠드크랩 랜섬웨어와 차이를 보인다. 갠드크랩은 자바스크립트 서버를 통해 악성코드를 다운로드하지만, 새로 발견된 랜섬웨어는 자바스크립트 내에 이미 악의적인 코드가 포함되어 있어 악성 파일을 추가로 다운로드할 필요가 없다.  즉, 공격자는 갠드크랩 랜섬웨어와 동일한 방법과 경로(피싱 사이트)를 통해 손쉽게 새로운 랜섬웨어도 유포한 것이다. 여기에 악의적인 행위를 수행하는 방식만 좀 더 간편(?)하게 업그레이드한 것으로 보인다. 

 

이번에 발견된 랜섬웨어는 PC에 유입된 후 [그림 1]과 같은 랜섬노트를 생성하며, 암호화를 완료한 후에는 PC의 바탕화면을 [그림 2]와 같은 이미지로 바꾼다.    

 

[그림 1] 새로운 랜섬웨어의 랜섬노트 

 

[그림 2] 새로운 랜섬웨어에 감염된 바탕화면 

 

V3 제품은 해당 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다. 

<V3 제품군 진단명>

- JS/Gandcrab.S9 

- Malware/MDP.Behavior.M2084

- Malware/MDP.Behavior.M2193

- Malware/MDP.Behavior.M2194

 

또한 행위 기반 탐지를 통해 아래와 같은 알림창을 제공한다.  

 

[그림 3] V3 제품의 행위 기반 탐지 알림창  

 

한편, 갠드크랩 랜섬웨어나 이번에 발견된 랜섬웨어와 같이 피싱 사이트를 통해 유포되는 악성코드의 피해를 예방하기 위해서는 웹 사이트의 광고나 이메일 본문에 포함된 URL 등 검증되지 않은 URL에 접속하지 않도록 주의해야 한다. 안랩은 피싱 및 유해 사이트로 인한 사용자 피해를 최소화하기 위해 V3 제품에 ‘유해 사이트 차단’, ‘피싱 사이트 차단’ 등의 다양한 기능을 제공하고 있다.

  • AhnLab 로고
  • 분석팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.