2020-01-27 00:40 (월)
비너스락커 유포조직, 최근 한국 대상 '갠드크랩' 랜섬웨어 집중 유포중
상태바
비너스락커 유포조직, 최근 한국 대상 '갠드크랩' 랜섬웨어 집중 유포중
  • 길민권 기자
  • 승인 2018.05.04 17:56
이 기사를 공유합니다

입사지원서 메일로 위장...'경력직 입사 지원에 대한 포부' 제목이라면 클릭 금지

▲ 입사지원서로 위장한 랜섬웨어 유포 실제 메일 내용.
▲ 입사지원서로 위장한 랜섬웨어 유포 실제 메일 내용.
최근 입사지원서 메일로 위장 갠드크랩(GandCrab) 랜섬웨어를 유포하는 정황이 발견되어 각별한 주의가 요구된다.

이 랜섬웨어 유포 조직은 지난 2016년 12월부터 유창한 한글 이메일로 한국에 집중적으로 유포했던 비너스락커(VenusLocker) 랜섬웨어 유포 조직이며, 2018년 현재 갠드크랩(GandCrab) 랜섬웨어 시리즈 유포에 주력하고 있는 조직이다.

이스트시큐리티 측은 "갠드크랩 랜섬웨어는 현재 3.0 버전까지 업데이트가 이뤄지고 있으며 지속적으로 변종이 제작되고 있어 이용자들이 각별한 주의가 필요하다"며 "공격자는 유창하고 정교한 한글 이메일을 사용하고 있고 이메일 본문에 거의 마침표(.)가 존재하지 않는 다는 공통된 특징을 가지고 있다. 이런 특징을 파악하고 주의를 기울여야 한다"고 당부했다.

또 "신뢰할 수 있는 보안 소프트웨어를 항시 최신상태로 유지하고 기본적인 보안원칙을 수행하는 노력과 평상시 중요 자료들은 분리된 별도의 저장 매체에 수시로 백업하는 습관이 필요하다"고 강조했다.

이스트시큐리티 분석에 따르면, 그동안 공격자는 웹 디자인 분야에 종사하는 실존 디자이너나 작가를 교묘히 사칭해 이미지 파일에 대한 저작권법 위반 및 무단 도용에 대한 항의로 가장하거나 특정 실명을 거론하며 마치 입사지원서로 사칭한 공격도 자주 사용하고 있다.

특히 이번에 발견된 입사지원서 메일은 '경력직 입사 지원에 대한 포부' 내용을 담고 있으며 첨부된 이력서를 실행하도록 유도한다.

첨부된 파일 '입사지원서(이름)'.egg에는 '1.지원서_180426.doc', '2.자격증사본_180426.jpg' 바로가기 파일과 함께 'heal.exe' 악성 파일이 있다. 이용자가 지원서 내지는 자격증을 살펴보기 위해 바로가기 파일을 실행할 경우 갠드크랩 랜섬웨어인 'heal.exe'가 실행된다.

이때 암호화 대상 파일들 뒤에 '.CRAB'가 추가되며 각 폴더에 'CRAB-DECRYPT.txt' 랜섬노트가 생성된다. 랜섬노트는 토르 웹 브라우저 등의 경로를 통해 결제를 요구하는 내용을 담고 있다.

따라서 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 메일에 첨부된 링크나 첨부파일을 주의해야 한다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 한다.

★정보보안 대표 미디어 데일리시큐!★