2024-03-29 00:50 (금)
갠드크랩 랜섬웨어 유포 다시 시작...명함제작 이메일로 위장
상태바
갠드크랩 랜섬웨어 유포 다시 시작...명함제작 이메일로 위장
  • 길민권 기자
  • 승인 2019.01.17 18:57
이 기사를 공유합니다

갠드크랩 랜섬웨어 실행되면 사용자 파일 암호화 후 PC 바탕화면도 변경

aaaa-1.jpg
지난해 말 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 갠드크랩(GandCrab) 랜섬웨어가 유포된 바 있다. 이 랜섬웨어는 특정 정부가 지원하는 비너스락커 해커조직이 살포하고 있는 것으로 추정되며 최근 또 다시 유포하기 시작했다. 각별한 주의가 요구된다. 이번 악성메일은 명함제작 이메일을 위장하고 있다.

첨부 파일 ‘문의사항.alz’에는 3개의 파일이 있다. 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 가장한 exe 파일이다. 하지만 exe 파일의 확장자를 jpg로 바꿔 놓았기 때문에 실제로 클릭을 한다 해도 실행되지 않는다.

▲ 최근 유포되고 있는 갠드크랩 랜섬웨어 유포용 악성 메일 샘플.
▲ 최근 유포되고 있는 갠드크랩 랜섬웨어 유포용 악성 메일 샘플.
실제 랜섬웨어는 바로가기 파일인 .lnk 파일이며, 문의내용_190110.doc.lnk 바로가기 파일을 클릭하면 참고내용_190110.doc 파일과 참고사진_190110.jpg 파일로 위장된 갠드크랩 파일이 실행된다.

이스트시큐리티에 따르면, 이번에 유포된 갠드크랩은 5.0.4버전으로, 랜섬웨어가 실행되면 사용자의 파일을 암호화시킨 후 사용자 바탕화면을 변경한다고 설명했다.

한편 갠드크랩 랜섬웨어 공격자는 '연말 정산' 혹은 '이미지 무단 사용', ‘이력서’ 등 다양한 형태로 업데이트하고 있다. 정상메일을 위장해 유포되고 있는 갠드크랩 랜섬웨어 공격이 지속되고 있어 각별히 주의해야 한다.

출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양하고 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해야 한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★