포스팅 내용

악성코드 분석 리포트

국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 국내 대학을 대상으로 갠드크랩 랜섬웨어를 다운로드 할 수 있는 악성 메일이 발송되고 있어 주의를 당부드립니다.



이번에 발견된 메일은 ‘Greetings to you an extract !’ 라는 제목으로, 본문은 여보세요!’ 로 시작합니다. 실제 유포된 아래 내용은 조금 부자연스러운 한국어로 작성되어 있고 부채를 알린다며 첨부 파일의 실행을 유도합니다.


[그림 1] 악성 이메일 화면


이메일에 첨부되어 있는 ‘Invoice_4678282.zip’ 압축 파일 내부에는 ‘‘Invoice_4678282.js’ 파일이 포함되어 있습니다.


[그림 2] 압축 파일 내부에 포함된 JS파일 화면


‘Invoice_4678282.js’ 자바스크립트 파일은 분석 및 보안 탐지 회피를 목적으로 코드가 난독화되어 있습니다.


[그림 3] 난독화된 ‘Invoice_4678282.js’ 악성 스크립트 파일 코드 화면


사용자가 악성 스크립트 파일을 실행할 경우, 명령제어(C2) 서버로 연결되어 EXE 랜섬웨어 파일이 다운로드 됩니다.


[그림 4] 특정 서버에서 갠드크랩 랜섬웨어(lass.exe)를 다운로드하는 패킷 화면


해당 서버에 등록되어 있는 갠드크랩(GandCrab) 랜섬웨어는 %temp% 폴더에 ‘particularlyguardswimming.exe’ 파일명으로 생성되고 실행 합니다.


[그림 5] 생성된 갠드크랩 랜섬웨어 화면


실행이 완료되면 암호화 대상 파일들 뒤에 '.CRAB'가 추가되며, 각 폴더에 'CRAB-DECRYPT.txt' 랜섬노트가 생성됩니다. 랜섬노트는 토르 웹 브라우저 등의 경로를 통해 결제를 요구하는 내용을 담고 있습니다.

[그림 6] 결제 요구 내용이 담긴 랜섬노트


현재 알약에서는 관련 악성파일을 'Trojan.Ransom.GandCrab' 으로 진단하고 있습니다

 

최근 한국 맞춤형 갠드크랩 랜섬웨어 이메일이 국내에 지속적으로 유포되고 있으며, 매우 다양한 형태로 진화하고 있으므로, 유사한 보안위협에 노출되지 않도록 각별한 주의가 필요합니다.



티스토리 방명록 작성
name password homepage