구글 검색을 통해 유포되는 갠드크랩 랜섬웨어 주의!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

최근 구글 검색을 통해 새로운 갠드크랩 랜섬웨어가 유포되고 있는 정황이 발견되었습니다. 

이번에 발견된 신종 갠드크랩 랜섬웨어는 "검색명_[랜덤숫자].zip" 형태이며, 사용자가 특정 단어를 구글 사이트를 통해 검색 시, 검색 결과 상단에 노출되어 다운로드 및 실행을 유도합니다.

[그림 1] 구글 검색 상단에 위치한 갠드크랩 유포 사이트

만약 사용자가 특정 프로그램을 무료로 다운로드하기 위해 해당 사이트에 들어가면 다음과 같은 다운로드 페이지를 확인할 수 있습니다.

[그림 2] 사용자의 클릭을 유도하는 갠드크랩 유포 사이트

해당 링크를 클릭하면 아래와 같이 "검색명_링크_[랜덤숫자].zip" 형태의 압축파일이 다운로드됩니다.

[그림 3] ZIP 파일 형태로 다운로드되는 갠드크랩

해당 ZIP 파일을 압축 해제하면, 아래와 같은 JavaScript 파일을 확인하실 수 있습니다.

[그림 4] ZIP 파일 안의 악성 JavaScript 파일

수집된 악성 샘플은 다음과 같이 파일명에 의미 없는 영문 및 숫자가 포함되어 있습니다.

- z_tt__(OO_링크)_a_ps_pis2kg_jcp_9l_2ju0de6cohj__e___xvls_1_j.js

그리고 해당 악성 파일의 속성값을 확인해 보면, Microsoft R Windows Based Script Host 프로그램을 연결 프로그램으로 설정해 놓은 것을 확인할 수 있습니다.

[그림 5] 악성 JavaScript 파일의 속성값

분석 결과 압축 파일의 js 파일은 갠드크랩을 다운로드하는 코드가 들어있으나, 현재 C&C 서버가 막혀 실제로 갠드크랩은 다운로드하지 못하는 것으로 확인되었습니다.

이번에 발견된 랜섬웨어처럼 구글 검색을 통해 랜섬웨어가 유포되기 때문에, 무료 프로그램을 다운하기 위해 신뢰할 수 없는 사이트로부터 파일을 다운하는 것은 지양해야 합니다.

또한 랜섬웨어 감염을 막기위해 아래와 같은 예방 수칙 및 대응을 습관화 해야합니다.

예방 수칙 및 대응 방안

- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.  

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.  

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.  

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.  

- 신뢰할 수 있는 백신 프로그램을 사용한다.

현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Js.GandCrab, Trojan.JS.Ransom.A'으로 탐지 중에 있습니다.