포스팅 내용

악성코드 분석 리포트

구글 검색을 통해 유포되는 갠드크랩 랜섬웨어 주의!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 구글 검색을 통해 새로운 갠드크랩 랜섬웨어가 유포되고 있는 정황이 발견되었습니다. 


이번에 발견된 신종 갠드크랩 랜섬웨어는 "검색명_[랜덤숫자].zip" 형태이며, 사용자가 특정 단어를 구글 사이트를 통해 검색 시, 검색 결과 상단에 노출되어 다운로드 및 실행을 유도합니다.


[그림 1] 구글 검색 상단에 위치한 갠드크랩 유포 사이트


만약 사용자가 특정 프로그램을 무료로 다운로드하기 위해 해당 사이트에 들어가면 다음과 같은 다운로드 페이지를 확인할 수 있습니다.


[그림 2] 사용자의 클릭을 유도하는 갠드크랩 유포 사이트


해당 링크를 클릭하면 아래와 같이 "검색명_링크_[랜덤숫자].zip" 형태의 압축파일이 다운로드됩니다.


[그림 3] ZIP 파일 형태로 다운로드되는 갠드크랩


해당 ZIP 파일을 압축 해제하면, 아래와 같은 JavaScript 파일을 확인하실 수 있습니다.


[그림 4] ZIP 파일 안의 악성 JavaScript 파일


수집된 악성 샘플은 다음과 같이 파일명에 의미 없는 영문 및 숫자가 포함되어 있습니다.

- z_tt__(OO_링크)_a_ps_pis2kg_jcp_9l_2ju0de6cohj__e___xvls_1_j.js


그리고 해당 악성 파일의 속성값을 확인해 보면, Microsoft R Windows Based Script Host 프로그램을 연결 프로그램으로 설정해 놓은 것을 확인할 수 있습니다.


[그림 5] 악성 JavaScript 파일의 속성값


분석 결과 압축 파일의 js 파일은 갠드크랩을 다운로드하는 코드가 들어있으나, 현재 C&C 서버가 막혀 실제로 갠드크랩은 다운로드하지 못하는 것으로 확인되었습니다.


이번에 발견된 랜섬웨어처럼 구글 검색을 통해 랜섬웨어가 유포되기 때문에, 무료 프로그램을 다운하기 위해 신뢰할 수 없는 사이트로부터 파일을 다운하는 것은 지양해야 합니다.


또한 랜섬웨어 감염을 막기위해 아래와 같은 예방 수칙 및 대응을 습관화 해야합니다.


예방 수칙 및 대응 방안

- 출처를 확인할 수 없는 이메일 내 URL 링크 혹은 첨부파일을 클릭하지 않는다.  

- 신뢰할 수 없는 웹 페이지 접속을 지양한다.  

- 중요 자료들은 외장 매체에 수시로 백업해 놓는다.  

- 운영체제 및 자주 사용하는 프로그램, 인터넷 브라우저 등을 항상 최신 버전으로 유지한다.  

- 신뢰할 수 있는 백신 프로그램을 사용한다.


현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Js.GandCrab, Trojan.JS.Ransom.A'으로 탐지 중에 있습니다.





티스토리 방명록 작성
name password homepage