문자가 깨진 악성 메일로 유포되는 GandCrab 랜섬웨어 주의

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 문자가 깨진 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부드립니다. 

※ 관련글 보기

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의

▶ 피고 소환장 통지서로 사칭한 GandCrab 랜섬웨어 유포 주의

▶ 국내 대학 대상으로 갠드크랩 랜섬웨어 유포 중

▶ 입사지원서로 위장하여 유포되는 GandCrab 랜섬웨어 주의

▶ 악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의

▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의

▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중

▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!

▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요

이번에 발견된 메일은 이력서인 것처럼 보이는 첨부 파일과 함께 메일 제목 및 첨부 파일 이름의 문자가 깨져 있는 점이 특징입니다. 

[그림 1] 문자가 깨진 악성 메일

이력서처럼 보이는 첨부 파일에는 'Resume.js'가 있지만, 압축 파일 헤더가 깨졌다는 오류 메시지가 보입니다.

[그림 2] 메일에 첨부된 압축 파일

다음은 압축 파일 헤더의 손상된 부분입니다.

[그림 3] 손상된 압축 파일 헤더

이용자가 'Resume.js' 파일을 이력서로 착각하여 실행할 경우, GandCrab 랜섬웨어를 다운로드 및 실행하는 기능이 수행됩니다. 다음은 GandCrab 랜섬웨어를 다운로드받는 코드입니다. 

[그림 4] GandCrab 랜섬웨어 다운로드 코드의 일부

※ GandCrab 랜섬웨어 C&C

http://lybconsulting[.]com/index_2[.]php

http://arbistrade[.]com/index_2[.]php

http://thrivebodymindspirit[.]com/index_2[.]php

※ 추가 변종 GandCrab 랜섬웨어 C&C(첨부파일 : yeon_hee.zip)

http://wordpress[.]gasketguy.com/index_2[.]php

http://ceinnmat[.]com/index_2[.]php

[표 1] GandCrab 랜섬웨어 C&C

다운로드한 GandCrab 랜섬웨어는 임시폴더(%TEMP%)에 임의의 파일명으로 저장되어 실행됩니다.

[그림 5] GandCrab 랜섬웨어를 임시폴더에 드롭하는 코드

이번 메일 관련하여 6월 25일에 발견된 악성 메일의 경우에도 문자가 깨져서 나오는 점을 확인할 수 있습니다. 

[그림 6] 6월 25일자 문자가 깨진 악성 메일

하지만 다음과 같이 한글로 된 수신자 및 송신자, 그리고 첨부 파일 이름을 확인되었습니다.

[그림 7] 텍스트 뷰어로 확인한 6월 25일자 악성 메일

해당 메일에 첨부된 파일 '이력서_정욱.zip'에는 악성코드를 다운로드 및 실행하는 'Resume.js' 스크립트 파일이 담겨져 있습니다. 다음은 C&C로 연결 및 데이터를 가져오는 코드입니다.

[그림 8] 악성코드 다운로드 코드

※ 악성코드 C&C

http://www[.]westcoastview-mauritius[.]com/update[.]php

http://www[.]wiwebdev[.]com/update[.]php

http://www[.]woodsiam[.]com/update[.]php

[표 2] 악성코드 C&C

최종적으로 다운로드되어 실행되는 GandCrab 랜섬웨어는 대상 파일들을 암호화한 뒤, 바탕화면 변경 및 랜섬노트 생성을 통해 이용자에게 파일 복호화를 댓가로 가상 화폐 결제를 요구합니다. 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.

알약에서는 해당 악성코드를 'Trojan.Ransom.GandCrab, Trojan.JS.Downloader.Agent'로 진단하고 있습니다.