check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

갠드크랩 랜섬웨어 유포 다시 시작...명함제작 이메일로 위장

갠드크랩 랜섬웨어 실행되면 사용자 파일 암호화 후 PC 바탕화면도 변경

길민권 기자 mkgil@dailysecu.com 2019년 01월 17일 목요일

aaaa-1.jpg
지난해 말 연말정산 시즌을 겨냥한 홈택스 사칭 악성 메일을 통해 국내에 갠드크랩(GandCrab) 랜섬웨어가 유포된 바 있다. 이 랜섬웨어는 특정 정부가 지원하는 비너스락커 해커조직이 살포하고 있는 것으로 추정되며 최근 또 다시 유포하기 시작했다. 각별한 주의가 요구된다. 이번 악성메일은 명함제작 이메일을 위장하고 있다.

첨부 파일 ‘문의사항.alz’에는 3개의 파일이 있다. 압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 가장한 exe 파일이다. 하지만 exe 파일의 확장자를 jpg로 바꿔 놓았기 때문에 실제로 클릭을 한다 해도 실행되지 않는다.

▲ 최근 유포되고 있는 갠드크랩 랜섬웨어 유포용 악성 메일 샘플.
▲ 최근 유포되고 있는 갠드크랩 랜섬웨어 유포용 악성 메일 샘플.
실제 랜섬웨어는 바로가기 파일인 .lnk 파일이며, 문의내용_190110.doc.lnk 바로가기 파일을 클릭하면 참고내용_190110.doc 파일과 참고사진_190110.jpg 파일로 위장된 갠드크랩 파일이 실행된다.

이스트시큐리티에 따르면, 이번에 유포된 갠드크랩은 5.0.4버전으로, 랜섬웨어가 실행되면 사용자의 파일을 암호화시킨 후 사용자 바탕화면을 변경한다고 설명했다.

한편 갠드크랩 랜섬웨어 공격자는 '연말 정산' 혹은 '이미지 무단 사용', ‘이력서’ 등 다양한 형태로 업데이트하고 있다. 정상메일을 위장해 유포되고 있는 갠드크랩 랜섬웨어 공격이 지속되고 있어 각별히 주의해야 한다.

출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양하고 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해야 한다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
태그 랜섬웨어
목록