갠드크랩 랜섬웨어, 주말 동안 기승...저작권 위반과 입사지원 사칭해 유포
[보안뉴스 김경애 기자] 갠드크랩(GandCrab) 랜섬웨어가 지난 주말에도 기승을 부리며, 좀처럼 수그러들지 않고 있다. 특히 갠드크랩 랜섬웨어 유포자가 비너스락커 랜섬웨어를 뿌린 동일 공격자로 추정되고 있어 기업과 이용자들의 각별한 주의가 필요하다.
[이미지=보안뉴스]
지난 30일 하우리 최상명 CERT 실장은 “여전히 갠드크랩 랜섬웨어가 유포되고 있다”며 “비너스락커 랜섬웨어 유포자들이 불특정 다수를 타깃으로 뿌리고 있다”며 주의를 당부했다.
갠드크랩 랜섬웨어 유포자는 자신을 임진영이라는 개인제작자라고 사칭하며, 제작한 그림을 무단으로 이용했다고 이용자를 협박했다. 그러면서 갠드크랩 랜섬웨어에 감염되도록 첨부파일 확인을 유도했다.
이보다 하루 앞선 지난 29일에는 갠드크랩 랜섬웨어가 svc호스트 실행파일로 위장해 암호화한데 이어 인터넷익스플로러 실행파일로 변경해 암호화했다.
보안전문 파워블로거인 벌새는 “갠드크랩 랜섬웨어가 지난번에는 C:\Windows\SysWOW64\svchost.exe -k ahnlab 방식으로 암호화한데 이어 C:\Program Files\Internet Explorer\iexplore.exe 파일로 변경했다”며 이용자의 주의를 당부했다.
또한 지난 26일에는 갠드크랩 랜섬웨어가 불특정 다수와 채용공고를 낸 기업을 타깃으로 뿌렸졌다. 공격자는 불특정 다수를 대상으로 ‘하시은’이라는 개인제작자로 사칭해 자신의 동의없이 이미지를 사용했다며 메일을 보내 이용자를 협박했다. 그러면서 이용자는 30일때와 유사한 수법으로 원본 이미지와 사용한 내용을 정리해서 ‘하시은_이미지내용정리.egg’파일로 첨부했다며 랜섬웨어 감염을 위해 파일을 열어보도록 유도했다.
[이미지=보안뉴스]
또한 같은 날 회사 직원 공고를 낸 기업을 타깃으로도 공격자는 ‘하시은’이라는 이름을 사칭해 “이전 직장에서 3년반정도 일했다”며 “채용공고를 보고 지원했다”고 밝혔다. 그러면서 이력서 확인을 요청하며 ‘입사지원서(하시은).egg’첨부파일을 열어보도록 유도했다.
보안기업 하우리에 따르면 “갠드크랩 랜섬웨어는 DNS 쿼리를 조회할 수 있는 nslookup.exe를 이용해 C&C 서버와 통신이 이루어질 시 파일암호화를 진행한다”며 “갠드크랩 2.0 외 세 개의 바로가기 파일에는 비너스락커 조직으로 추정되는 특정경로가 존재하며, 작년 말에 이어 금년 초까지 가상화폐 채굴 악성코드를 유포했었던 비너스락커 추정 조직이 이번에는 갠드크랩 랜섬웨어로 유포하고 있다”고 설명했다.
안랩은 “최근 인터넷 사이트에 접속하는 것만으로도 감염되는, 이른바 갠드크랩(GandCrab v 2.1) 랜섬웨어 피해가 잇따르고 있다”며 “갠드크랩 랜섬웨어 2.1 버전은 주로 보안이 취약한 웹사이트를 통해 유포되고 있다. 특히 갠드크랩 랜섬웨어를 분석한 결과, 특정 데이터를 포함한 파일(이하 ‘데이터 파일’)이 폴더에 존재하면 해당 폴더는 암호화 않는 조건, 즉 ‘킬 스위치(kill switch)’를 발견했다. 이는 백신 제품의 여러 탐지 기법 중 하나를 우회하기 위해 공격자가 설계한 것으로 추정된다”고 설명했다.
이에 따른 예방수칙으로 하우리는 우선 기본적인 보안 수칙을 준수하는 PC 사용 습관이 중요하다며 윈도우 업데이트 및 응용 프로그램 패치 , 백신 프로그램 엔진 업데이트를 최신으로 유지하시면서 중요한 문서/파일 등의 데이터를 물리적으로 분리된 저장소에 정기 백업해두는 습관을 길러 랜섬웨어에 감염되더라도 피해를 최소화할 수 있도록 해야한다고 당부했다.
따라서 이용자는 △중요한 문서나 파일은 물리적으로 분리된 저장소에 백업하여 관리하고, △발신인이 불분명한 메일의 경우, 되도록 열람하지 않고 첨부파일에 대한 실행을 금지해야 한다. △보안 취약점을 이용한 감염을 예방하기 위해 OS 및 주요 응용 프로그램의 최신 보안 업데이트를 적용하고, △백신 프로그램의 최신 엔진 업데이트 및 안티 익스플로잇(Anti-Exploit) 솔루션을 이용해 사전에 방역하는 것이 바람직하다.
[김경애 기자(boan3@boannews.com)]
본 뉴스는 보안뉴스에서 발췌 하였습니다.
