포스팅 내용

악성코드 분석 리포트

입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


갠드크랩(GandCrab) 랜섬웨어를 유포하던 조직이 기존과 유사한 방식으로 구직시즌에 맞춰 입사지원서 등을 위장하여 갠드크랩(GandCrab) 랜섬웨어 v5.1을 새롭게 유포하는 정황이 포착되어 사용자들의 주의가 필요합니다. 




해당 이력서에 첨부된 압축파일을 풀어보면, 압축파일 내에는 다음과 같은 파일들이 포함되어 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.) 


첨부파일을 열어본 사용자가 지원서.doc.lnk파일을 클릭하는 경우 jpeg로 위장한 악성코드(.exe)가 실행되면서 갠드크랩(GandCrab) 랜섬웨어가 동작하게 되며 사용자를 속이기 위해 함께 첨부된 정상 doc파일을 실행해서 화면에 보여주게 됩니다. 


정상 doc파일이 실행되면 '훈련 위탁 계약서'라는 제목의 계약서 샘플내용이 화면에 보여지게 됩니다.



기존에 비너스락커 조직에서 유포하던 GandCrab 랜섬웨어는 주로 5.0.4버전이 많이 활용되었는데 지난 주(2019.01.17경)부터 이 GandCrab 랜섬웨어의 버전이 5.1버전으로 업데이트 된 것이 주목할 부분입니다.




사용자 여러분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 구직시즌, 음력설 연휴 등을 맞아 공격이 조금씩 증가하고 있는 추세이므로 주의가 요구되는 시점입니다.



알약에서는 해당 샘플들에 대하여 Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 




  1. 터진코드몽키 2019.01.24 15:28 신고  수정/삭제  댓글쓰기

    유용한정보감사합니다 내용을 제 블로그에 퍼가도 될까요?

    • 알약(Alyac) 2019.01.24 16:35 신고  수정/삭제

      안녕하세요? 이스트시큐리티입니다. 퍼가실 때 출처를 밝혀주시기 바랍니다. 감사합니다.

티스토리 방명록 작성
name password homepage