[주의] 비너스락커 그룹 개인 디자이너를 위장하여 갠드크랩 v5.2 유포 중

악성코드 분석 리포트

by 알약(Alyac) 2019. 4. 11. 14:49

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 비너스락커 그룹이 '이미지 저작권 위반'의 내용이 담긴 악성 메일로 GandCrab v5.2 랜섬웨어를 유포하고 있어, 이용자들의 주의를 당부드립니다.

이번에 발견된 메일에는 개인 작가의 이미지를 무단으로 사용해 저작권을 위반했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다.

[그림 1] '이미지 저작권 위반 안내'가 담긴 악성 메일

첨부 파일 '원본이미지.egg'에는 실제 이미지와 문서로 위장한 파일이 아래와 같이 들어있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)

- 원본이미지.jpg(긴공백).exe

[그림 2] 첨부파일 '원본이미지.egg'

이용자가 이미지를 보기 위해 jpg 파일로 위장한 exe 파일을 실행할 경우 GandCrab v5.2 랜섬웨어에 감염됩니다.

랜섬웨어에 감염되면, 랜섬노트 'TUCSLWSNX-MANUAL.txt'가 바탕화면에 생성되고, GandCrab 랜섬웨어는 암호화 대상 파일 뒤에 '.TUCSLWSNX' 확장자를 추가합니다.

랜섬노트 내용을 보면, 파일을 복호화하고 싶다면 개인 키를 구입해야 하며, 안내된 Tor 브라우저로 들어가 브라우저의 안내사항을 따르라고 되어 있습니다.

랜섬노트에 작성되어 있는 토르 브라우저 주소는 이번 8일에 발견된 입사지원서를 위장한 악성 메일의 랜섬노트와 동일한 주소입니다.

[그림 3] GandCrab 랜섬노트 'TUCSLWSNX-MANUAL.txt'

다음은 토르 웹 브라우저로 접속했을 때 랜섬머니 요청 화면이며, 기존과 동일하게 대시(DSH) 코인 랜섬머니와 암호화폐 지갑 주소를 확인할 수 있습니다.

[그림 4] GandCrab 다크넷에서 가상 화폐 결제 화면

각 기업의 보안 담당자, 외부 업무 담당자들께서는 최근 지속적으로 유포 중인 저작권 위반 관련 악성 이메일로부터 랜섬웨어 감염을 막기 위해 아래와 같은 예방 수칙 및 대응 방안을 참고하시기 바랍니다.

※ 랜섬웨어 감염 예방 수칙 및 대응 방안

- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.

- 신뢰할 수 있는 백신 프로그램을 사용한다.

현재 알약에서는 관련 랜섬웨어에 대해 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.

한ㆍ미 겨냥 APT 캠페인 '스모크 스크린' Kimsuky 실체 공개 (아웃소싱 공격) (0)	2019.04.17
[주의] 국내 특정 해양회사로 사칭한 피싱 메일 유포 중! (0)	2019.04.15
[주의] 비너스락커 그룹 입사지원서를 위장하여 갠드크랩 v5.2 유포 중 (0)	2019.04.08
김수키(Kimsuky) 조직, 스텔스 파워(Operation Stealth Power) 침묵 작전 (0)	2019.04.03
'리플라이 오퍼레이터(Reply Operator)' 경찰청, 국세청, 헌법재판소 등 사칭해 갠드크랩 유포 중 (0)	2019.04.02

고정 헤더 영역