포스팅 내용

악성코드 분석 리포트

[업데이트] 갠드크랩(GandCrab) 위협, 여전히 지속 중


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

갠드크랩 랜섬웨어가 또 다시 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 



이번 악성메일은 명함제작 이메일을 위장하고 있습니다. 


[그림 1] 수신된 메일


첨부 파일 ‘문의사항.alz’ 에는 아래와 같이 3개의 파일이 있습니다.


[그림 2] 첨부파일 '문의사항.alz'


압축파일에 첨부되어 있는 doc 파일은 정상 파일이며, jpg 파일은 이미지 파일을 가장한 exe 파일입니다. 하지만 exe 파일의 확장자를 jpg로 바꿔 놓았기 때문에 실제로 클릭을 한다 해도 실행되지 않습니다. 


실제 랜섬웨어는 바로가기 파일인 .lnk 파일이며, 문의내용_190110.doc.lnk 바로가기 파일을 클릭하면 참고내용_190110.doc 파일과 참고사진_190110.jpg 파일로 위장된 갠드크랩 파일이 실행되게 됩니다.


[그림 3] 문의내용_190110.doc.lnk 바로가기 파일


이번에 유포된 갠드크랩은 5.0.4버전으로, 랜섬웨어가 실행되면 사용자의 파일을 암호화 암호화 시킨 후 사용자 바탕화면을 변경합니다. 


 

[그림 4] 바탕화면 변경 화면


[그림 5] 랜섬 노트 화면


갠드크랩 랜섬웨어 공격자는 '연말 정산' 혹은 '이미지 무단 사용', ‘이력서’ 등 다양한 형태로 업데이트하고 있습니다. 



+ 추가


정상메일을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 공격이 지속되고 있습니다.






따라서 사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 


알약에서는 해당 샘플들에 대하여 Trojan.Lnk.Runner, Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 







티스토리 방명록 작성
name password homepage