HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

저작권 위반 위장 메일로 유포되는 GandCrab 2.0 랜섬웨어
등록일 :
2018.03.27

□ 개요

최근 저작권 침해 관련 메일 내용으로 위장하여 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용

해당 메일에서는 자신을 작가로 소개하며 저작권 침해에 해당하는 이미지 링크를 정리하였으니 첨부파일을 확인해달라는 메일의 내용과 함께 압축파일이 첨부되어있다.

 

[그림 1] 저작권 위반에 대한 내용이 담겨있는 메일 

 

하지만 첨부파일의 압축을 해제할 시 [그림 2]와 같이 그림파일과 문서파일로 위장한 바로가기파일과 악성코드가 들어있다.

 

[그림 2] 메일의 첨부파일로 유포되고 있는 파일들 

 

바로가기파일은 숨김속성의 악성코드(esse.exe)를 실행시키도록 유도한다. 악성코드는 폴더의 옵션에 따라 일반 사용자에게는 안 보일 수 있다.


[그림 3] 압축 해제 후 3개의 바로가기파일과 1개의 실행파일  

 

해당 악성코드는 실행 시 실제 파일암호화 행위를 하는 GandCrab 2.0 랜섬웨어이다.

20181월에 RIG EK로 유포된 이력이 있던 GandCrab 랜섬웨어에서 v2.0 버전으로 업그레이드 되었다.



[그림 4] GandCrab 2.0의 랜섬노트

 

GandCrab 랜섬웨어는 DNS 쿼리를 조회할 수 있는 nslookup.exe를 이용하여 C&C 서버와 통신이 이루어질 시 파일암호화를 진행한다. 암호화 대상 폴더에는 랜섬노트를 생성하며 암호화를 마친 파일의 확장자는 ".GDCB"로 변경한다. 여기서 최근 GandCrab 2.0은 ".CRAB" 확장자명으로 변경되었다. 



[그림 5] GandCrab(위 그림)과 GandCrab 2.0(아래 그림) 

 

GandCrab 2.0 외 세 개의 바로가기 파일에는 비너스락커 조직으로 추정되는 특정경로가 존재하며 최근에는 바로가기 파일명에 "_메일유포날짜"를 덧붙여 유포하고 있다.


-       C:\Users\I\Desktop\양진이\VenusLocker_korean.exe