최근 공정거래위원회를 사칭한 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.

이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 관련 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.

[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일

실제 첨부파일 '전자상거래 위반행위 통지서.egg'에는 2개의 바로가기 파일 '1.전자상거래 위반행위 통지서.doc.lnk', '2.전산 및 비전산 자료 보존요청서.doc.lnk'과 GandCrab 랜섬웨어인 'uandsk.exe'가 있습니다. 

[그림 2] 첨부파일 '전자상거래 위반행위 통지서.egg'

만일 이용자가 실제로 위반행위를 한 것으로 생각하여 바로가기 파일을 실행할 경우, 명령어에 의해 GandCrab 랜섬웨어인 'uandsk.exe'가 실행됩니다.

[그림 3] '1.전자상거래 위반행위 통지서.doc.lnk' 바로가기 파일

실행되는 GandCrab 랜섬웨어 'uandsk.exe'는 암호화 대상 파일 뒤에 '.KRAB' 확장자를 추가합니다. 또한 암호화 대상 폴더마다 생성된 랜섬노트 파일('KRAB-DECRYPT.txt')를 통해 암호화된 파일을 복호화하기 위한 댓가로 가상화폐 결제를 요구합니다.

[그림 4] 암호화되어 확장자가 'KRAB'로 변경된 파일

[그림 5] GandCrab 랜섬노트 KRAB-DECRYPT.txt

따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.

현재 알약에서는 관련 샘플들을 'Trojan.LnK.Runner', 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.