2018년을 대표하는 GandCrab 랜섬웨어(Ransomware)가 2019년에도 변함없이 활발하게 유포 활동을 이어가고 있는 가운데 2019년 1월 14일경부터 압축파일(.alz)에 포함된 바로가기(.lnk) 파일을 클릭하도록 유도하여 파일 암호화를 진행하는 약간 달라진 방법이 확인되고 있습니다.
입사지원서, 이미지 도용 메일로 클릭을 유도하는 GandCrab 랜섬웨어 주의(2018년 5월 2일) 2018년 3월경부터 특정인에게 한국어로 작성된 메일 발송을 통해 첨부되었다.egg압축파일 내부에 존재하는… blog.naver.com
이 방법은 이미 이전부터 메일 첨부파일을 통해 꾸준히 다양한 소재로 유포되고 있었지만 이번에는 실행파일 확장명을 완전히 노출하지 않는 형태로 변경된 것이 특징입니다.
[업데이트] GandCrab 위협, 여전히 지속 중 안녕하세요 이스트시큐리티대응센터(ESRC)입니다. GandCrab 랜섬웨어가 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. ※ 관련 글 2018년 말 조정 시즌 비너스 락커 유포 조직 활동..blog.alyac.co.kr
변경된 유포 방식과 관련하여 알약 보안업체에서 자세한 정보를 제공하고 있으니 참고하시기 바랍니다.오늘 확인된 유포는 카카오톡(KakaoTalk)을 받은 파일 폴더 위치에서 실행된 것으로 보아 메신저를 통해서도 유포가 진행되는 것이 아닌가 의심되는 부분이 있습니다. 지원서 개인자격증.jpg지원서 자격증_190114.jpg 카톡 받으신 파일 이상이신 분_확인 부탁드립니다.\원본이미지및링크정리참고내용_190115.doc
App체크(AppCheck)를 통해 검출된 GandCrab 랜섬웨어 파일의 위치와 파일명을 확인하면 자격증 그림파일(.jpg) 또는 MSWord문서(.doc) 파일 확장명으로 위장한 형태임을 알 수 있습니다.
예를 들어 MSWord문서파일(참고내용_190115.doc)과 같은 파일명을 가진 바로가기(.lnk)파일이 압축파일 내에 함께 존재하는 경우 사용자는 문서파일로 착각하여 실행합니다.
참고 내용_190115.doc 문서 파일을 실행할 경우 콘텐츠를 표시할 수 없는 화면을 확인할 수 있는데, 이는 실제 문서 파일이 아니기 때문입니다.
참고내용_190115.doc문서파일의 코드를 확인해보니 실행파일(.exe)임을 알 수 있고 MSWord문서(.doc)파일 확장명을 가지고 있더라도 참고내용_190115.doc.lnk바로가기파일을 사용자가 클릭하면 실행파일로 동작할 수 있습니다.
단축키(.lnk) 파일 실행으로 동작할 경우 .<5~10자리 Random 확장자> 형태로 암호화가 진행되며, 암호화된 폴더마다 <암호화 확장자>-DECRYPT.txt 결제 안내 파일을 생성합니다.
메시지 파일에서는 GandCrab v5.0.4 버전에 의해 파일이 암호화되었기 때문에 안내하는 웹사이트에 접속하도록 유도하고 있습니다.
AppCheck 안티랜섬웨어는 그림파일(.jpg), MS Word 문서파일(.doc) 등 비실행 파일 확장자로 제작된 형태에 대해서도 파일 암호화 행위가 검출될 경우 차단 및 차단 전 일부 암호화된 파일에 대한 자동 복원을 지원하고 있습니다.GandCrab 랜섬웨어 유포 방식과 같이 바로가기(.lnk) 확장명이 윈도우 익스플로러에서 나타나지 않는 점을 이용하여 문서, 사진 등의 파일로 생각하고 클릭을 유도하는 행위가 있으므로 메일 첨부파일 또는 메신저를 통해 받은 파일을 실행할 경우 파일 유형을 잘 확인하시고 바로가기(.lnk) 파일은 클릭하지 않도록 각별히 주의하시기 바랍니다.
버튼을 클릭하면 앱 체크 다운로드 페이지로 이동합니다.