상세 컨텐츠
본문
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
갠드크랩(GandCrab) 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서 등을 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다.
해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)
첨부파일을 열어본 사용자가 지원서.doc.lnk파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩(GandCrab) 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc파일을 실행해서 화면에 보여주게 됩니다.
정상 doc파일이 실행되면 '훈련 위탁 계약서'라는 제목의 계약서 샘플내용이 화면에 보여지게 됩니다.
기존에 비너스락커 조직에서 유포하던 GandCrab 랜섬웨어는 주로 5.0.4버전이 많이 활용되었는데 지난 주(2019.01.17경)부터 이 GandCrab 랜섬웨어의 버전이 5.1버전으로 업데이트 된 것이 주목할 부분입니다.
사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 구직시즌, 음력설 연휴 등을 맞아 공격이 조금씩 증가하고 있는 추세이므로 주의가 요구되는 시점입니다.
※ 관련글보기
▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중!
▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥!
알약에서는 해당 샘플들에 대하여 Trojan.Ransom.GandCrab으로 탐지중에 있습니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| 유명 소셜커머스 입사지원서를 위장한 악성코드 (0) | 2019.01.24 |
|---|---|
| 홀리데이 와이퍼(Operation Holiday Wiper)로 귀환한 로켓맨 APT 캠페인 (0) | 2019.01.23 |
| 일요일 수행된 APT 변종 공격, 오퍼레이션 페이크 캡슐(Operation Fake Capsule) 주의 (0) | 2019.01.20 |
| [업데이트] 갠드크랩(GandCrab) 위협, 여전히 지속 중 (0) | 2019.01.17 |
| 연말정산 간소화 서비스 기간을 맞이하여 또 다시 유포되고 있는 연말정산 악성메일 주의! (0) | 2019.01.10 |
댓글 영역