이번에 발견된 악성 메일은 ‘Greetings to you an extract !’라는 제목으로, 본문은 ‘여보세요!’로 시작한다. 실제 유포된 내용은 부자연스러운 한국어로 작성되어 있고 첨부 파일의 실행을 유도한다.
이메일에 첨부되어 있는 ‘Invoice_4678282.zip’ 압축 파일 내부에는 ‘‘Invoice_4678282.js’ 파일이 포함되어 있다.
‘Invoice_4678282.js’ 자바스크립트 파일은 분석 및 보안 탐지 회피를 목적으로 코드가 난독화되어 있다.
사용자가 악성 스크립트 파일을 실행할 경우, 명령제어 서버로 연결되어 EXE 랜섬웨어 파일이 다운로드 된다.
해당 서버에 등록되어 있는 갠드크랩(GandCrab) 랜섬웨어는 %temp% 폴더에 ‘particularlyguardswimming.exe’ 파일명으로 생성되고 실행한다.
실행이 완료되면 암호화 대상 파일들 뒤에 '.CRAB'가 추가되며, 각 폴더에 'CRAB-DECRYPT.txt' 랜섬노트가 생성된다. 랜섬노트는 토르 웹 브라우저 등의 경로를 통해 결제를 요구하는 내용을 담고 있다.
이스트시큐리티 측은 "최근 한국 맞춤형 갠드크랩 랜섬웨어 이메일이 지속적으로 유포되고 있다. 매우 다양한 형태로 진화하고 있어 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요하다"고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지