포스팅 내용

악성코드 분석 리포트

새로운 도메인을 통해 지속적으로 유포되는 갠드크랩(GandCrab)랜섬웨어 v5.1


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


공격자가 지속적으로 새로운 도메인을 등록하여 갠드크랩 랜섬웨어를 유포하고 있어 사용자들의 주의가 필요합니다. 


[그림 1] 악성 메일


공격자가 이번에는 freehaksa.com 도메인을 이용하여 랜섬웨어를 유포하였습니다. 


해당 공격자는 국내에 끊임없이 갠드크랩(GandCrab) 랜섬웨어를 유포하고 있는 자로서, 하루에도 몇번씩 새로운 도메인을 등록하여 공격을 진행하고 있습니다. 


[그림 2] 공격자가 등록한 새로운 도메인들


확인 결과, 이번에 공격자가 사용한 freehaksa.com 도메인은 1월 25일날 등록된 도메인으로 확인되었으며, 이 공격자에 대해서는 국내 또 다른 보안업체인 안랩에서도 주의를 당부한 적이 있습니다. 


이번에도 역시 기존과 유사하게 저작권 관련 이메일로 위장하여 피싱 메일을 유포하였으며, 피싱 메일에는 악성 파일이 포함되어 있는 .alz 파일이 첨부되어 있습니다. 


[그림 3] doc 파일을 위장하고 있는 exe 파일


.alz 파일 내에는 doc 파일을 위장하고 있는 .exe 파일이 첨부되어 있으며, 사용자가 .exe 파일을 실행하면 갠드크랩(GandCrab) 랜섬웨어에 감염되게 됩니다.  


[그림 4] 갠드크랩 랜섬웨어 랜섬노트


공격자가 끊임없이 새로운 도메인을 등록, 공격에 악용하는 만큼 사용자들의 각별한 주의가 필요합니다. 


현재 알약에서는 해당 랜섬웨어에 대해 Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 




티스토리 방명록 작성
name password homepage