상세 컨텐츠

본문 제목

피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 6. 4. 19:05

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


국내에 피고 소환장 통지서로 사칭한 악성 이메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 긴급히 주의를 당부드립니다. 


※ 관련글 보기


 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중


▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의


 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요



이번에 발견된 이메일은 소환장 통지 내용으로 '여기서 소환 공지 다운로드' URL 링크 클릭을 유도합니다.


[그림 1] 피고 소환장 통지서 사칭 악성 이메일


URL 링크를 클릭할 경우 악성 URL로 연결되며, 'summons_notice_2235674.doc' 파일을 다운로드 받습니다. 다음은 링크에 접속했을 때 URL의 소스 코드입니다.


[그림 2] 하이퍼텍스트를 통해 연결되는 URL


다운로드된 'summons_notice_2235674.doc'는 문서 내용이 'Microsoft Word'에 의해 보호된다는 내용을 담고 있으며 내용을 보기 위해 매크로 활성화를 유도합니다. 


[그림 3] 매크로 활성화를 유도하는 DOC 파일


이용자가 소환장에 대한 자세한 정보를 열람하기 위해 매크로 허용 및 실행할 경우, 추가적으로 DOC 본문 이미지를 소환장 통지서 관련 내용이 담긴 특정 웹 사이트의 이미지로 수정 및 GandCrab 랜섬웨어를 다운로드받습니다. 


[그림 4] 소환장 통지서 내용으로 수정된 DOC 문서


[그림 5] GandCrab 랜섬웨어를 다운받는 코드


다운로드된 GandCrab 랜섬웨어는 'C:\Users\Public\' 경로에 'JSQC0UgW.exe' 이름으로 드롭 및 실행됩니다. 


[그림 6] 다운로드한 GandCrab 랜섬웨어 드롭


GandCrab 감염 시 암호화 대상 파일 뒤에 'CRAB'이 추가되며, 바탕화면 변경 및 랜섬노트로 대시코인 등의 금전 결제를 요구합니다. 다음은 GandCrab 랜섬노트 및 바탕화면입니다. 


[그림 7] GandCrab 랜섬웨어 이미지로 변경된 바탕화면


[그림 8] GandCrab 랜섬웨어 랜섬노트


이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 해당 랜섬웨어를 'Trojan.Ransom.GandCrab, Trojan.Downloader.X97M.Gen'로 진단하고 있습니다.



관련글 더보기

댓글 영역