□ 개요
최근 국내에 워드문서의 매크로 기능을 이용하여 GandCrab 랜섬웨어가 유포되고 있어 컴퓨터 사용자들의 주의가 필요하다.
□ 내용
저작권 문제로 첨부된 문서를 실행하도록 유도하고 있다.
[그림 1] 저작권 문제로 첨부파일 실행을 유도하는 메일
메일에 첨부된 Project.alz 파일을 압축해제하면 Project.doc 파일명의 문서파일이 포함되어 있고 문서파일을 실행하면 내용없이 매크로 경고창만 표시된다.
메일 본문의 내용중 워드 구버전으로 작성되어 체크하라는 의미는 매크로를 실행하면 내용을 볼수 있다는 의미로 내용 확인을 위해 매크로 실행을 유도하고 있다. 만약 워드의 버전이 낮거나 옵션에서 매크로 차단 설정이 되어있지 않으면 매크로 명령이 바로 실행된다.
매크로 명령이 실행되면 공격자 서버로 접근하여 파일을 다운로드 및 실행한다.
다운로드 경로 : 185.xxx.xxx.154/ppoerhiogre.exe
다운로드한 파일은 GandCrab 5.1 버전으로 컴퓨터에 저장된 사용자 데이터를 암호화하고 암호화폐를 요구한다.
따라서, 최근 GandCrab 랜섬웨어가 다양한 방법으로 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.
[참고자료]
제목 : (주의) 이메일로 유포되는 GandCrab 랜섬웨어!
https://www.hauri.co.kr/security/issue_view.html?intSeq=380&page=1&article_num=295
□ 바이로봇 업데이트 내역
Trojan.Win32.Gandcrab
※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html