HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 이메일로 유포되는 GandCrab 랜섬웨어!
등록일 :
2019.01.16

□ 개요

최근 국내에 GandCrab 랜섬웨어가 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용

공격자는 메일 수신자의 업무특성을 사전에 파악한 후 업무와 관련된 내용으로 첨부파일을 확인해달라는 내용과 함께 압축파일이 첨부되어있다.

 

-사례1-

 

블로거, 홈페이지관리자, 디자인회사 등에 이미지 사용 금지를 요청하는 메일 내용으로 첨부파일을 실행하도록 유도

 

[그림 1] 이미지 사용 금지 요청 메일

 

 

-사례2-

 

인사담당자에게 입사지원을 위장하여 이력서가 포함된 첨부파일을 실행하도록 유도 

 

[그림 2] 입사지원 메일

 

 

-사례3-

 

명함, 의류업체 등에 제품 제작 관련 문의메일로 첨부파일을 실행하도록 유도

 

[그림 3] 명함 제작 문의 메일

 

 

 

-사례4-

 

 세무관련 업무 문의메일로 첨부파일을 실행하도록 유도

 

  

 [그림 4] 세무 업무 관련 문의 메일

  

 

메일에 포함된 첨부파일은 .alz 확장자를 가지고 있으며 이는 국내 유명 압축소프트웨어로 압축된 압축파일이다.

.alz 파일은 대부분의 압축해제 툴로 압축을 해제하지 못하기 때문에 스팸필터나 방화벽 등 보안장비에서 첨부파일에 포함되어 있는 파일을 확인하지 못하는 점을 이용하여 탐지를 우회한다.

 

메일에 첨부된 파일을 압축해제하면 이미지파일이나 문서파일, 그리고 바로가기 파일이 포함되어 있다.

[그림 5]는 [그림 1] 메일에 첨부되어 있는 "이상인_확인바랍니다.alz" 파일을 압축해제한 파일이다.

 

 


[그림 5] 압축파일에 포함된 파일

 

 

바로가기파일은 문서파일로 위장한 GandCrab 랜섬웨어(참고내용_190115.doc​)와 정상 이미지(참고이미지.jpg) 파일을 실행시킨다.

바로가기 명령 : %windir%system32cmd.exe hidden cmd /c @start 참고내용_190115.doc & cmd /c @start 참고이미지.jpg

 

GandCrab 랜섬웨어가 실행되면 컴퓨터에 저장된 사용자 데이터 파일을 암호화하고 복구를 위해 1500USD(약170만원) 상당의 암호화폐 대시 또는 비트코인을 요구한다.

  

[그림 6] GandCrab 랜섬웨어 감염 노트 

 

 

따라서, 최근 .alz 파일로 압축되어진 GandCrab 랜섬웨어가 국내에 많이 유포되고 있으니 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.

 

 

□ 바이로봇 업데이트 내역  

 

Trojan.Win32.Gandcrab

LNK.Agent 

 

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top