포스팅 내용

악성코드 분석 리포트

피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


국내에 피고 소환장 통지서로 사칭한 악성 이메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 긴급히 주의를 당부드립니다. 


※ 관련글 보기


 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중


▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의


 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요



이번에 발견된 이메일은 소환장 통지 내용으로 '여기서 소환 공지 다운로드' URL 링크 클릭을 유도합니다.


[그림 1] 피고 소환장 통지서 사칭 악성 이메일


URL 링크를 클릭할 경우 악성 URL로 연결되며, 'summons_notice_2235674.doc' 파일을 다운로드 받습니다. 다음은 링크에 접속했을 때 URL의 소스 코드입니다.


[그림 2] 하이퍼텍스트를 통해 연결되는 URL


다운로드된 'summons_notice_2235674.doc'는 문서 내용이 'Microsoft Word'에 의해 보호된다는 내용을 담고 있으며 내용을 보기 위해 매크로 활성화를 유도합니다. 


[그림 3] 매크로 활성화를 유도하는 DOC 파일


이용자가 소환장에 대한 자세한 정보를 열람하기 위해 매크로 허용 및 실행할 경우, 추가적으로 DOC 본문 이미지를 소환장 통지서 관련 내용이 담긴 특정 웹 사이트의 이미지로 수정 및 GandCrab 랜섬웨어를 다운로드받습니다. 


[그림 4] 소환장 통지서 내용으로 수정된 DOC 문서


[그림 5] GandCrab 랜섬웨어를 다운받는 코드


다운로드된 GandCrab 랜섬웨어는 'C:\Users\Public\' 경로에 'JSQC0UgW.exe' 이름으로 드롭 및 실행됩니다. 


[그림 6] 다운로드한 GandCrab 랜섬웨어 드롭


GandCrab 감염 시 암호화 대상 파일 뒤에 'CRAB'이 추가되며, 바탕화면 변경 및 랜섬노트로 대시코인 등의 금전 결제를 요구합니다. 다음은 GandCrab 랜섬노트 및 바탕화면입니다. 


[그림 7] GandCrab 랜섬웨어 이미지로 변경된 바탕화면


[그림 8] GandCrab 랜섬웨어 랜섬노트


이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 해당 랜섬웨어를 'Trojan.Ransom.GandCrab, Trojan.Downloader.X97M.Gen'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage