포스팅 내용

악성코드 분석 리포트

입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 입사지원서 메일로 위장하여 GandCrab 랜섬웨어를 유포하는 정황이 발견되어 주의를 당부드립니다.


※ 관련글 보기


 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요



이번에 발견된 입사지원서 메일은 '경력직 입사 지원에 대한 포부' 내용을 담고 있으며, 첨부된 이력서를 실행하도록 유도합니다.


[그림 1] 입사지원서 위장 악성 메일


첨부된 파일 '입사지원서(이름)'.egg에는 '1.지원서_180426.doc', '2.자격증사본_180426.jpg' 바로가기 파일과 함께 'heal.exe' 악성 파일이 있습니다. 이용자가 지원서 내지는 자격증을 살펴보기 위해 바로가기 파일을 실행할 경우 GandCrab 랜섬웨어인 'heal.exe'가 실행됩니다.


[그림 2] 악성 메일에 첨부된 파일


[그림 3] 'heal.exe'를 실행하는 바로가기 파일


암호화 대상 파일들 뒤에 '.CRAB'가 추가되며, 각 폴더에 'CRAB-DECRYPT.txt' 랜섬노트가 생성됩니다. 랜섬노트는 토르 웹 브라우저 등의 경로를 통해 결제를 요구하는 내용을 담고 있습니다.


[그림 4] 결제 요구 내용이 담긴 랜섬노트


따라서 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 관련 샘플들을 'Trojan.Downloader.LnK.Gen', 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage