포스팅 내용

악성코드 분석 리포트

[주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중!


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC) 입니다. 


최근 새로운 방식으로 갠드크랩(GandCrab) 랜섬웨어가 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 



[이미지 1] 지방 경찰서 사칭 이메일


어제(11일)부터 지방 경찰서를 사칭한 악성 메일이 대량으로 유포되고 있습니다. 


해당 메일들은 출석통지서.rar이 포함하고 있으며, 온라인 명예훼손 관련 출석통지서(향후 변경 가능)라는 제목으로 유포 중이며, 압축파일 내에는 갠드크랩 랜섬웨어가 포함되어 있습니다. 


어제 저녁 이미 일부 언론사에서는 관련 내용으로 보도자료를 배포하였습니다. 



이번 공격에서 주의할 점은 갠드크랩 랜섬웨어 유포방식에 변화가 생겼다는 점입니다. 


기존에는 압축파일 내에 악성 매크로가 포함된 워드파일 혹은 .doc, .jpeg를 위장하고 있는 악성코드와 함께, 해당 악성코드들을 실행시키는 .lnk 파일이 포함된 방식으로 유포하였습니다.


하지만 이번에는 (파일명).doc (긴 공백).exe 형태로 파일명 중간에 공백을 길게 넣어 실행파일(.exe)의 형태로 유포되고 있으며, 파일명과 확장자명 사이에 긴 공백을 넣어 실행파일이 아닌 워드파일인 것처럼 위장하고 있습니다.


[이미지2] 압축파일 내 악성파일


만약 사용자가 압축파일에 포함되어 있는 파일들을 워드 파일로 착각, 실행한다면 워드 파일로 위장하고 있던 갠드크랩(GandCrab) 랜섬웨어 v5.1이 실행되게 됩니다. 


이번 악성메일의 유포자 정보를 추적하면, 최근 국내에 대량으로 유포되고 있는 다양한 형태의 갠드크랩(GandCrab) 랜섬웨어 유포자와 동일하다는 것을 확인할 수 있습니다. 


[이미지3] 갠드크랩 랜섬웨어 공격자 정보


이 mushuerk@gmail.com 계정을 이용하는 공격자(혹은 조직)는 끊임없이 다양한 방식을 통하여 국내에 갠드크랩(GandCrab) 랜섬웨어를 유포하고 있으며, 이미 경찰을 사칭하여 랜섬웨어를 유포한 적도 있었습니다.



이 공격자(혹은 조직)는 2017년 국내에 비너스락커 랜섬웨어를 유포한 공격자(혹은 조직)로, 이미 알약 블로그에는 해당 공격자(혹은 조직)와 관련된 다양한 포스팅들을 작성한 적이 있습니다.




현재 알약에서는 해당 악성파일에 대해 Trojan.Ransom.GandCrab으로 탐지중에 있습니다.




티스토리 방명록 작성
name password homepage