안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 "갠드크랩 랜섬웨어는 올해 인터넷 사용자들에게 가장 큰 피해를 끼친 랜섬웨어 중 하나로, 최근에는 rundll32.exe 시스템 파일을 악성 파일로 변경하여 직접 파일 암호화를 진행한 사례가 발견되었다"고 주의를 당부했다.
rundll32.exe 시스템 파일을 악성 파일로 변경한 후 자동으로 시스템을 강제 종료하고 윈도우 시작 시 자동 실행되도록 시작 프로그램에 등록한다.
변경된 rundll32.exe 악성 파일은 러시아에 위치한 특정 IP 서버와 통신을 시도하며, 정상적으로 통신에 성공하면 추가적으로 악성 파일을 다운로드 할 수 있다.
서버의 과거 정보 조회 결과 랜섬웨어 뿐만 아니라 다른 종류의 악성코드 다운로드 행위 또한 확인된다. rundll32.exe 파일은 악성코드를 다운로드 하는 역할을 하는 것으로 추측할 수 있다.
윈도우7 운영 체제 환경에서는 작업 관리자에서 실행 중인 rundll32.exe 악성 파일을 종료한 후 "C:ProgramDatarundll32.exe" 시스템 파일을 복사하여 붙여넣기 하는 방식으로 악성 파일을 정상 파일로 복구할 수 있다.
체크멀 관계자는 중요 시스템 파일이 악성코드로 변경되는 감염 행위가 발생한 경우, 랜섬웨어와 다양한 악성코드 감염이 추가적으로 발생할 수 있으므로 더욱 각별히 주의할 것을 당부하며 “안전하게 시스템을 보호하기 위해 안티랜섬웨어 전용 솔루션 앱체크를 설치하시기 바란다”고 말했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지