HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

(주의) 매크로를 이용한 GandCrab 랜섬웨어!
등록일 :
2019.01.22

□ 개요

최근 국내에 워드문서의 매크로 기능을 이용하여 GandCrab 랜섬웨어가 유포되고 있어 컴퓨터 사용자들의 주의가 필요하다.

 

□ 내용

저작권 문제로 첨부된 문서를 실행하도록 유도하고 있다.  

 

[그림 1] 저작권 문제로 첨부파일 실행을 유도하는 메일

 

 

메일에 첨부된 Project.alz 파일을 압축해제하면 Project.doc 파일명의 문서파일이 포함되어 있고 문서파일을 실행하면 내용없이 매크로 경고창만 표시된다.  

 

[그림 2] 문서를 실행하면 출력되는 매크로 경고창

 

 

메일 본문의 내용중 워드 구버전으로 작성되어 체크하라는 의미는 매크로를 실행하면 내용을 볼수 있다는 의미로 내용 확인을 위해 매크로 실행을 유도하고 있다.​ 만약 워드의 버전이 낮거나 옵션에서 매크로 차단 설정이 되어있지 않으면 매크로 명령이 바로 실행된다.

 

매크로 명령이 실행되면 공격자 서버로 접근하여 파일을 다운로드 및 실행한다.

다운로드 경로 : 185.xxx.xxx.154/ppoerhiogre.exe

 

다운로드한 파일은 GandCrab 5.1 버전으로 컴퓨터에 저장된 사용자 데이터를 암호화하고 암호화폐를 요구한다.

 

[그림 3] GandCrab 5.1 감염으로 변경된 바탕화면

 

 

따라서, 최근 GandCrab 랜섬웨어가 다양한 방법으로 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.  

 

[참고자료]

제목 : (주의) 이메일로 유포되는 GandCrab 랜섬웨어!

https://www.hauri.co.kr/security/issue_view.html?intSeq=380&page=1&article_num=295

 

 

□ 바이로봇 업데이트 내역   

Trojan.Win32.Gandcrab

 

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html ​​ ​ 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top