2019-12-12 08:00 (목)
시스템 파일을 악성 파일로 변경하는 갠드크랩 랜섬웨어...주의
상태바
시스템 파일을 악성 파일로 변경하는 갠드크랩 랜섬웨어...주의
  • 길민권 기자
  • 승인 2018.08.28 23:11
이 기사를 공유합니다

hacker-symbol-2714262_640.jpg
시스템 파일 패치를 통한 갠드크랩 랜섬웨어가 탐지됐다. 각별한 주의가 요구된다.

안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 "갠드크랩 랜섬웨어는 올해 인터넷 사용자들에게 가장 큰 피해를 끼친 랜섬웨어 중 하나로, 최근에는 rundll32.exe 시스템 파일을 악성 파일로 변경하여 직접 파일 암호화를 진행한 사례가 발견되었다"고 주의를 당부했다.

rundll32.exe 시스템 파일을 악성 파일로 변경한 후 자동으로 시스템을 강제 종료하고 윈도우 시작 시 자동 실행되도록 시작 프로그램에 등록한다.

변경된 rundll32.exe 악성 파일은 러시아에 위치한 특정 IP 서버와 통신을 시도하며, 정상적으로 통신에 성공하면 추가적으로 악성 파일을 다운로드 할 수 있다.

서버의 과거 정보 조회 결과 랜섬웨어 뿐만 아니라 다른 종류의 악성코드 다운로드 행위 또한 확인된다. rundll32.exe 파일은 악성코드를 다운로드 하는 역할을 하는 것으로 추측할 수 있다.

윈도우7 운영 체제 환경에서는 작업 관리자에서 실행 중인 rundll32.exe 악성 파일을 종료한 후 "C:ProgramDatarundll32.exe" 시스템 파일을 복사하여 붙여넣기 하는 방식으로 악성 파일을 정상 파일로 복구할 수 있다.

체크멀 관계자는 중요 시스템 파일이 악성코드로 변경되는 감염 행위가 발생한 경우, 랜섬웨어와 다양한 악성코드 감염이 추가적으로 발생할 수 있으므로 더욱 각별히 주의할 것을 당부하며 “안전하게 시스템을 보호하기 위해 안티랜섬웨어 전용 솔루션 앱체크를 설치하시기 바란다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★