공정거래위원회를 사칭하여 유포하는 GandCrab 랜섬웨어 주의
최근 공정거래위원회를 사칭한 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.
이번에 발견된 공정거래위원회 사칭 악성메일은 '전자상거래에 대한 위반행위 관련 조사통지서' 내용을 담고 있습니다. 또한 메일 본문 하단에 '붙임. 전산 및 비전산 자료 보존요청서 1부' 내용으로 첨부 파일 확인을 유도합니다.
[그림 1] '전자상거래 위반행위 관련 조사통지서'로 위장한 악성 메일
실제 첨부파일 '전자상거래 위반행위 통지서.egg'에는 2개의 바로가기 파일 '1.전자상거래 위반행위 통지서.doc.lnk', '2.전산 및 비전산 자료 보존요청서.doc.lnk'과 GandCrab 랜섬웨어인 'uandsk.exe'가 있습니다.
[그림 2] 첨부파일 '전자상거래 위반행위 통지서.egg'
만일 이용자가 실제로 위반행위를 한 것으로 생각하여 바로가기 파일을 실행할 경우, 명령어에 의해 GandCrab 랜섬웨어인 'uandsk.exe'가 실행됩니다.
[그림 3] '1.전자상거래 위반행위 통지서.doc.lnk' 바로가기 파일
실행되는 GandCrab 랜섬웨어 'uandsk.exe'는 암호화 대상 파일 뒤에 '.KRAB' 확장자를 추가합니다. 또한 암호화 대상 폴더마다 생성된 랜섬노트 파일('KRAB-DECRYPT.txt')를 통해 암호화된 파일을 복호화하기 위한 댓가로 가상화폐 결제를 요구합니다.
[그림 4] 암호화되어 확장자가 'KRAB'로 변경된 파일
[그림 5] GandCrab 랜섬노트 KRAB-DECRYPT.txt
따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.
현재 알약에서는 관련 샘플들을 'Trojan.LnK.Runner', 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.