포스팅 내용

악성코드 분석 리포트

[주의] 비너스락커 그룹 개인 디자이너를 위장하여 갠드크랩 v5.2 유포 중


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 비너스락커 그룹이 '이미지 저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어를 유포하고 있어, 이용자들의 주의를 당부드립니다.


이번에 발견된 메일에는 개인 작가의 이미지를 무단으로 사용해 저작권을 위반했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다.




[그림 1] '이미지 저작권 위반 안내'가 담긴 악성 메일


첨부 파일 '원본이미지.egg'에는 실제 이미지와 문서로 위장한 파일이 아래와 같이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)

- 원본이미지.jpg(긴공백).exe


[그림 2] 첨부파일 '원본이미지.egg'


이용자가 이미지를 보기 위해 jpg 파일로 위장한 exe 파일을 실행할 경우 GandCrab v5.2 랜섬웨어에 감염됩니다. 


랜섬웨어에 감염되면, 랜섬노트 'TUCSLWSNX-MANUAL.txt' 바탕화면에 생성되고, GandCrab 랜섬웨어는 암호화 대상 파일 뒤에 '.TUCSLWSNX' 확장자를 추가합니다.


랜섬노트 내용을 보면, 파일을 복호화하고 싶다면 개인 키를 구입해야 하며, 안내된 Tor 브라우저로 들어가 브라우저의 안내사항을 따르라고 되어 있습니다.


랜섬노트에 작성되어 있는 토르 브라우저 주소는 이번 8일에 발견된 입사지원서를 위장한 악성 메일의 랜섬노트와 동일한 주소입니다.


[그림 3] GandCrab 랜섬노트 'TUCSLWSNX-MANUAL.txt'


다음은 토르 웹 브라우저로 접속했을 때 랜섬머니 요청 화면이며, 기존과 동일하게 대시(DSH) 코인 랜섬머니와 암호화폐 지갑 주소를 확인할 수 있습니다.


[그림 4] GandCrab 다크넷에서 가상 화폐 결제 화면


각 기업의 보안 담당자, 외부 업무 담당자들께서는 최근 지속적으로 유포 중인 저작권 위반 관련 악성 이메일로부터 랜섬웨어 감염을 막기 위해 아래와 같은 예방 수칙 및 대응 방안을 참고하시기 바랍니다.  


※ 랜섬웨어 감염 예방 수칙 및 대응 방안


- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.   

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.   

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.   

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.   

- 신뢰할 수 있는 백신 프로그램을 사용한다. 


현재 알약에서는 관련 랜섬웨어에 대해 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.


※ 비너스락커(Venus Locker) 그룹 게시글 바로가기 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03) 
▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17) 
▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23) 
▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13) 
▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26) 
▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15) 
▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (2018.06.25)

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22) 

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15) 
▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19) 
▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20) 
▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27) 
▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03) 
▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10) 
▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13) 
▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21) 
▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26) 

▶ [주의] 비너스락커 그룹 입사지원서를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.08)




티스토리 방명록 작성
name password homepage