포스팅 내용

악성코드 분석 리포트

이미지 저작권 위반 내용 메일의 GandCrab v5.2 랜섬웨어 유포 주의



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 '저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.


※ 관련글 보기


[비너스락커(Venus Locker) 그룹]

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03)

▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17)

▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23)

▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13)

▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26)

▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)

▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15)

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (2018.06.25)

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22)

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15)

▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19)

▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20)

▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27)

▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03)

▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10)

▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13)

▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27)

▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21)

▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12)

▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26)


[어눌한 한국어 표현을 사용하는 유포 조직]

▶ 경찰청 소환장으로 유포중인 갠드크랩 랜섬웨어 5.1 주의 (2019.02.20)

▶ 지마켓 할인 쿠폰을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.22)

▶ [주의] 헌법 재판소 소환장으로 유포중인 갠드크랩 v5.2 주의! (2019.02.25)

▶ 한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의! (2019.02.27)

▶ [주의] 헌법 재판소 소환장으로 유포중인 업그레이드된 갠드크랩 v5.2 주의! (2019.03.11)

▶ 'Min Gap Ryong'과 한국은행을 사칭한 악성 이메일 유포 중 (2019.03.14)


이번에 발견된 메일은 개인 작가의 이미지를 무단으로 침해했다는 저작권 위반과 관련된 내용으로 이미지 확인을 위해 첨부 파일로 JavaScript 파일을 첨부한 것이 특징입니다.


이메일의 내용을 확인해 보면 '지금부터 이것을 사용하지 마십시오. 저희가 원본과 귀하가 쓰고 있는 이미지를 보내겠습니다.' 등 꽤 정확한 한글로 이메일의 악성 첨부파일을 실행하도록 유도하는 내용이 작성되어 있습니다.


[그림 1] '저작권 위반'이 담긴 악성 메일


악성 이메일의 내용

안녕하세요!


저는 개인 이미지 제작자로 일하고 있는 김진규라고 합니다.


죄송하지만 제가 제작한 이미지는 무료가 아닙니다.


그래서, 귀하가 통보없이 이것을 사용하면 저작권법에 위배됩니다.


법률적인 이야기를 하기보다 저는 그냥 사용을 중단하기를 원합니다. 


(저는 법률적인 이야기를 하고 싶지 않습니다.)


저도 실수로 다른 작가들의 이미지를 사용해봤기 때문에 이해합니다.


그러나, 지금부터 이것을 사용하지 마십시오.


저희가 원본과 귀하가 쓰고 있는 이미지를 보내겠습니다.


확인하시고 조처해 주십시오.


읽어 주셔서 감사합니다.

 

좋은 하루 되십시오!


사용자가 첨부파일의 JavaScript (.js) 파일을 통해 이미지 파일을 다운로드하는 것이라고 착각하여 실행하면, js 파일에서 [랜섬숫자4-5자리].exe 형태의 랜섬웨어가 다운로드되고, PC가 랜섬웨어에 감염됩니다.


[그림 2] 랜섬노트 내용


따라서 이러한 유형의 공격으로부터 랜섬웨어 감염을 예방하기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일은 신뢰도 있는 안티 바이러스 제품으로 검사해야 합니다.


또한, 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 관련 파일들을 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage