랜섬웨어 분석 정보

[랜섬웨어 분석]이미지 저작권 관련 내용으로 배포되는 GandCrab 랜섬웨어 5.2 버전 감염 주의

이미지 저작권 관련 내용으로 배포되는 GandCrab 랜섬웨어 5.2 버전 감염 주의

1. 개요

최근 이미지 저작권과 관련된 경고 메일을 통해 최신 GandCrab 랜섬웨어가 유포되고 있다. 첨부된 압축 파일 내부에는 jpg 파일로 위장한 실행 파일이 있으며, 이를 실행하면 랜섬웨어가 실행되어 암호화가 시작된다. GandCrab 은 이전부터 이와 같은 방법으로 가짜 이력서, 국가 기관 사칭 메일, 등을 통해 문서 파일로 위장하여 유포되어 온 전례가 있다. 최신 버전인 5.2 버전은 아직 복호화 툴이 없어 복구가 불가능하기 때문에 주의가 필요하다.


참조 : https://erteam.nprotect.com/2228?category=704918 [GANDCRAB 버전 별 변화 분석 보고서]

 

2. 분석 정보

2-1. 파일 정보

구분 내용
파일명 [원본.jpg].exe
파일크키 299,008 byte
진단명 Ransom/W32.GandCrab.299008.B
악성 동작 파일 암호화


2-2. 유포 경로

GandCrab 은 이미지 저작권과 관련된 경고, 가짜 이력서, 국가 기관 사칭, 등의 내용을 포함한 이메일을 통해 유포되는 것으로 알려져 있다. 이번에 자사에 유포된 악성 메일은 [그림 1]과 같이 이미지 저작권과 관련된 경고문을 포함하여 “albinadlc6@mail.com” 주소로부터 발송되었다.

 

[그림 1] GandCrab 랜섬웨어가 첨부된 악성 메일

 


2-3. 실행 과정

악성 메일에 첨부된 압축 파일을 해제하면 내부에 jpg 파일로 위장한 파일을 볼 수 있다. 하지만 실제로는 [그림 2]와 같이 “원본.jpg”라는 파일명 뒤에 긴 공백이 들어간 exe 실행 파일이다. 파일 아이콘도 실제 이미지 파일과 같이 위장하고 있기 때문에 더블 클릭 등을 통해 실행되지 않도록 주의가 필요하다.

 

[그림 2] jpg로 위장한 GandCrab 실행 파일

 

 

GandCrab이 실행되면 시스템을 탐색하며 파일을 암호화하고, 바탕화면을 [그림 3]과 같은 감염 경고문으로 변경한다. 경고문은 암호화된 파일을 복구하고 싶다면 랜섬노트를 참고하도록 유도하고 있다.

 

[그림 3] GandCrab 랜섬웨어 감염 시 바탕화면

 

 

[그림 4] GandCrab 5.2 버전 랜섬노트

 


3. 결론

GandCrab 은 5.2 버전이 배포된 이후 아직 복구화 툴이 개발되지 않아 감염 시 피해가 클 것으로 예상된다. 최근 유포되는 GandCrab 은 위와 같이 첨부 파일의 확장자에 긴 공백을 추가하는 방식을 사용하고 있기 때문에 이를 주의하면 감염을 예방할 수 있다.
랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안 되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Internet Security 5.0 진단 및 치료 화면




[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능

 

 

 

댓글

댓글쓰기

랜섬웨어 분석 정보 관련된 글

관련글 더보기