비너스락커 그룹 또다시 입사지원서를 위장하여 갠드크랩 v5.2 유포

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 

금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다.

[그림 1] 입사지원서를 위장한 악성 메일 이미지

금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게  .egg 확장자의 알집 파일이 첨부되어 있었습니다.

또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다.

최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다.

첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있으며, 다수의 빈 공백 다음에 PDF 2차 확장자로 한 번 더 위장하고, 마지막에 최종 EXE 실행 파일 확장자를 확인하실 수 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)

[그림 2] 악성 파일 확장자 화면

압축 파일 안의 파일명은 다음과 같습니다.

- 이력서.pdf(긴공백)이력서.pdf(공백).exe

- 이름.pdf(긴공백).이름.pdf(공백).exe

- 증명서.jpg

입사담당자가 해당 악성 파일을 PDF 파일로 착각하여 실행하면 다음과 같이 갠드크랩 v5.2에 감염됩니다.

[그림 3] PDF 파일로 위장한 악성코드 실행 파일 화면

이번에 발견된 랜섬웨어는 사용자 PC가 랜섬웨어에 감염되면 .VLNBVPCD 랜섬노트를 바탕화면에 생성하고 모든 파일은 .VLNBVPCD 확장자가 붙은 암호화 파일로 변경합니다.

[그림 4] VLNBVPCD 랜섬노트 이미지

[그림 5] 갠드크랩 감염으로 암호화된 파일

이번 갠드크랩도 토르 웹 브라우저로 접속하여 암호화된 파일을 복호화 하기 위해 랜섬머니를 지불할 것을 요구하고 있습니다.

[그림 6] 갠드크랩 v5.2 감염 이미지

채용 담당자분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

알약에서는 해당 악성 샘플에 대하여 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.

※ 비너스락커(Venus Locker) 그룹 게시글 바로가기 

▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요 (2017.01.03) 
▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중! (2017.02.17) 
▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 (2017.02.23) 
▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중 (2017.04.13) 
▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산! (2017.05.26) 
▶ 한국어를 구사하는 랜섬웨어 유포자, 이젠 매크로 기반으로 갠드크랩 유포 중 (2018.05.15) 
▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의! (2017.06.01)

▶ 이미지 저작권 침해 내용 메일로 GandCrab 랜섬웨어 유포 주의 (2018.06.25)

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의! (2018.10.22) 

▶ 비너스락커 위협조직, 입사지원서로 위장해 갠드크랩 랜섬웨어 한국에 급속 유포 중 (2018.11.15) 
▶ 비너스락커 랜섬웨어 조직, 베리즈 웹쉐어를 통해 갠드크랩 국내 다량 유포 (2018.11.19) 
▶ 비너스락커 조직, 임금체불 관련 출석요구서로 사칭한 갠드크랩 랜섬웨어 감염 주의 (2018.11.20) 
▶ 비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중! (2018.11.27) 
▶ 비너스락커 조직 ‘바로가기’ 파일(LNK) 변경하여 유포 중인 갠드크랩 랜섬웨어 주의 (2018.12.03) 
▶ 비너스락커 랜섬웨어 조직, 한국 상대로 악성 문서파일 융단폭격 중 (2018.12.10) 
▶ 또 다시 등장한 비너스락커 위협조직, 2018 연말정산 시즌 겨냥! (2018.12.13) 
▶ 2018 연말정산 시즌 비너스락커 유포 조직 활동중! (2018.12.27) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.1 유포중! (2019.01.21) 
▶ [주의] 지방 경찰서 출석통지서로 사칭한 갠드크랩 다량 유포 중! (2019.02.12) 
▶ 입사지원서로 위장한 갠드크랩(GandCrab) 랜섬웨어 v5.2 유포중! (2019.02.26) 

▶ [주의] 비너스락커 그룹 입사지원서를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.08)

▶ [주의] 비너스락커 그룹 개인 디자이너를 위장하여 갠드크랩 v5.2 유포 중 (2019.04.11)