(주)하우리

(주의) 이력서를 위장한 GandCrab 랜섬웨어!

□ 개요

최근 국내에 이력서를 위장한 GandCrab 랜섬웨어가 지속적으로 유포되고 있어 채용 담당자들의 주의가 요구된다.

□ 내용

채용공고 사이트에 노출되어 있는 채용 담당자 이메일을 수집한 후 본인을 입사지원자로 위장하여 첨부된 이력서를 실행하도록 유도하고 있다. 최근 발견된 이러한 악성코드는 지난 보안 이슈분석의 내용에서 .rar 파일로 압축된 점만 다를뿐 내용은 동일하다.

[참고자료]

제목 : (주의) 이메일로 유포되는 GandCrab 랜섬웨어!

[그림 1] 이력서를 위장한 이메일(예시1)

[그림 2] 이력서를 위장한 이메일(예시2)

메일에 첨부된 파일을 압축해제하면 이미지파일과 문서파일, 그리고 바로가기 파일이 포함되어 있다.

[그림 3] 압축파일에 포함된 파일

1. 지원서(윤지인).doc.lnk 바로가기 파일은 정상 이력서 파일(이력서_윤지인.doc)과 이미지 파일로 위장한 GandCrab 랜섬웨어(포토폴리오_윤지인.jpg) 파일을 실행시킨다.

바로가기 명령 : %windir%system32cmd.exe hidden cmd /c @start 이력서_윤지인.doc & cmd /c @start 포트폴리오_윤지인.jpg

바로가기 파일에 의해 실행된 GandCrab 랜섬웨어는 컴퓨터에 저장된 사용자 데이터 파일을 암호화하고 복구를 위해 암호화폐를 요구한다.

따라서, 최근 GandCrab 랜섬웨어가 다양한 방법으로 감염을 시도하고 있으므로 첨부파일이 포함된 메일의 경우 의심부터 하고 메일의 진위여부를 주의 깊게 확인해야한다.

□ 바이로봇 업데이트 내역

Trojan.Win32.Gandcrab

LNK.Agent

※ 랜섬웨어 감염 예방방법 : https://www.hauri.co.kr/ransomware/guide.html

Security issues analysis