□ 개요
최근 국내에 GandCrab 랜섬웨어가 지속적으로 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.
□ 내용
공격자는 메일 수신자의 업무특성을 사전에 파악한 후 업무와 관련된 내용으로 첨부파일을 확인해달라는 내용과 함께 압축파일이 첨부되어있다.
-사례1-
블로거, 홈페이지관리자, 디자인회사 등에 이미지 사용 금지를 요청하는 메일 내용으로 첨부파일을 실행하도록 유도
-사례2-
인사담당자에게 입사지원을 위장하여 이력서가 포함된 첨부파일을 실행하도록 유도
[그림 2] 입사지원 메일
-사례3-
명함, 의류업체 등에 제품 제작 관련 문의메일로 첨부파일을 실행하도록 유도
-사례4-
세무관련 업무 문의메일로 첨부파일을 실행하도록 유도
[그림 4] 세무 업무 관련 문의 메일
메일에 포함된 첨부파일은 .alz 확장자를 가지고 있으며 이는 국내 유명 압축소프트웨어로 압축된 압축파일이다.
.alz 파일은 대부분의 압축해제 툴로 압축을 해제하지 못하기 때문에 스팸필터나 방화벽 등 보안장비에서 첨부파일에 포함되어 있는 파일을 확인하지 못하는 점을 이용하여 탐지를 우회한다.
메일에 첨부된 파일을 압축해제하면 이미지파일이나 문서파일, 그리고 바로가기 파일이 포함되어 있다.
[그림 5]는 [그림 1] 메일에 첨부되어 있는 "이상인_확인바랍니다.alz" 파일을 압축해제한 파일이다.
바로가기파일은 문서파일로 위장한 GandCrab 랜섬웨어(참고내용_190115.doc)와 정상 이미지(참고이미지.jpg) 파일을 실행시킨다.
바로가기 명령 : %windir%system32cmd.exe hidden cmd /c @start 참고내용_190115.doc & cmd /c @start 참고이미지.jpg
GandCrab 랜섬웨어가 실행되면 컴퓨터에 저장된 사용자 데이터 파일을 암호화하고 복구를 위해 1500USD(약170만원) 상당의 암호화폐 대시 또는 비트코인을 요구한다.
따라서, 최근 .alz 파일로 압축되어진 GandCrab 랜섬웨어가 국내에 많이 유포되고 있으니 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.
□ 바이로봇 업데이트 내역
Trojan.Win32.Gandcrab
LNK.Agent
※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html