포스팅 내용

악성코드 분석 리포트

경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의


안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

지방 경찰서의 출석 통지서 사칭 악성 메일에 이어, 최근에는 경찰청에서 소환장을 발부한 것처럼 위장한 통지서 사칭 악성 메일으로 GandCrab v5.1 랜섬웨어가 유포되는 점이 ESRC 모니터링에 포착되어 이용자들의 주의를 당부드립니다.

 

[그림 1] 경찰청 소환장 통지서 악성 메일

 

악성 메일 첨부파일 ‘Notices for ID 8174 02 242.zip’에는 GandCrab 랜섬웨어인 ‘Case Notices.pdf.exe’가 포함되어져 있습니다. 이용자가 무심결에 첨부파일을 실행했을 경우 GandCrab 랜섬웨어에 감염됩니다.

 

[그림 2] 악성 메일에 첨부된 ‘Notices for ID 8174 02 242.zip’

 

GandCrab 5.1에 감염이 될 경우 파일 뒤에 임의의 확장자가 추가되면서 암호화됩니다. 또한 결제 안내를 위해 바탕화면을 금전 결제를 요구하는 이미지로 변경하고, 각 폴더마다 ‘[임의의 문자열]-DECRYPT.txt’ 랜섬노트 파일을 생성합니다.

 

변경된 바탕화면은 암호화된 폴더에 있는 랜섬노트 파일 실행하라는 내용을 가집니다.


[그림 3] GandCrab V5.1 바탕화면

 

바탕화면의 안내를 통해 확인되는 랜섬노트의 내용은 결제를 위해 토르 웹 브라우저로 공격자 다크넷 서버로 접속 유도하는 내용을 담고 있습니다.


[그림 4] GandCrab v5.1 랜섬노트


[그림 5] ‘GandCrab v5.1’에 대한 알약 랜섬웨어 차단 알림

 

이번에 발견된 사칭 메일의 주요 키워드로는 소환장, 판사, 법 위반, 첨부된 통지, 및 귀하는… 으로 시작하는 경고 메시지가 있습니다. 하지만, 경찰은 출석 요구시 이메일을 사용하지 않으며, 공식 경찰관 이메일 주소는 'ID@police.go.kr' 입니다.

 

따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.

 

현재 알약에서는 해당 랜섬웨어에 대하여 ‘Trojan.Ransom.GandCrab’으로 탐지중이며,

랜섬웨어 차단기능으로 파일 암호화 차단이 가능합니다.