포스팅 내용

악성코드 분석 리포트

비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

갠드크랩 랜섬웨어가 이번에는 내부 바로가기파일(LNK)을 새로 변경하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다

 

※ 관련 글 보기

 

 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의  

 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 

 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포    

 

갠드크랩 랜섬웨어는 이미지 무단 사용 안내메일로 위장하고 있으며, 압축 파일이 첨부되어 있습니다


[그림 1] 수신된 메일

 

첨부파일 이미지무단사용내용정리.alz’에는 2개의 jpg 파일’1.원본이미지, 2원본이미지’,’내용정리(링크포함)GandCrab 랜섬웨어인 ‘magic.exe’가 있습니다.


 

[그림 2] 첨부파일 이미지무단사용내용정리.alz’

 

만일 이용자가 내용 확인을 위해 바로가기 파일을 실행할 경우, 명령어에 의해 GandCrab 랜섬웨어 'magic.exe'가 실행됩니다실행되는 GandCrab 랜섬웨어 'magic.exe'는 암호화 대상 파일 뒤에 '.mtslqwi' 확장자를 추가하고, 암호화를 진행하는 기능을 가집니다. 또한 암호화 대상 폴더마다 생성된 랜섬노트파일로 암호화된 파일을 복호화하기 위해 가상화폐 결제를 요구합니다.


[그림 3] 3.내용정리(링크포함) 바로가기 파일

 

해당 공격자는 초기부터 알집을 설치해 양진이(C:\사용자\\바탕화면)' 는 새 폴더를 만들고 그곳에서 바로가기(.LNK) 파일을 제작해 1년 넘게 사용하고 있습니다. 그러나 최근 LNK 파일이 잘 탐지되어 감염율이 낮아지다보니 오늘 날짜로 LNK파일을 새로 변경한 것으로 확인 되었습니다(181203_E_2018-12-02_ 19-27(C:\사용자\HP\다운로드)

 

[그림 4] LNK 변경 전 - 양진이(C:\사용자\\바탕화면)

 

[그림 5] LNK 변경 후 - 181203_E_2018-12-02_ 19-27(C:\사용자\HP\다운로드


또한 lnk파일에 남겨진 동일한 식별정보 '양진이(C:\사용자\\바탕화면)' 로 인해 악성 파일을 제작한 공격자 PC가 고유한 것을 특정 할 수 있었고 지속적으로 악성 코드를 생산하고 있는 것으로 확인하였습니다.


[그림 6]  공격자 PC 고유 식별자


 공격자는 '이력서' 혹은 '이미지 무단 사용' 등 다양한 형태로 업데이트하고 있습니다따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 관련 샘플들을 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage