[우리문화신문=이한영 기자]  최근 ‘이미지 무단 사용 항의’ 등의 제목과 내용으로 위장한 누리편지를 통해 ‘갠드크랩 랜섬웨어’가 퍼지고 있다. 일전에 보안에 취약한 누리집에 접속하는 것만으로도 감염돼 피해를 입혔던 갠드크랩 랜섬웨어가 이번에는 악성 누리편지로 속이는 것이다.

 

 

[사진 1]은 갠드크랩 랜섬웨어 유포에 사용된 스팸 메일이다. 이 악성 스팸 메일은 수신자가 개인 제작자의 창작물을 무단 사용하고 있으니 해당 콘텐츠와 관련 내용을 정리한 첨부 파일을 확인하고 조치를 바란다는 내용을 담고 있다. 무단 사용에 대한 조치가 없으면 법적 제재를 가하겠다는 내용으로 수신자를 두렵게 하고 있다.

 

메일에 첨부된 파일은 [사진 2]와 같이 .egg 형태의 압축 파일로, 파일 내부에는 [사진 3]과 같이 그림 파일, 문서 파일, 실행 파일이 포함되어 있다.

 

 

 

압축 파일 내부의 실행 파일은 숨김 파일로 설정되어 있어 숨김 파일, 폴더 및 드라이브를 표시하도록 설정해 놓지 않은 사용자라면 실행 파일이 포함되어 있는 것을 알 수가 없다.

 

또한, 압축 파일 내부에 있는 이미지와 문서 파일은 모두 위장된 파일로, 실제로는 [사진 4]와 같이 바로가기 파일이다. 이를 알리 없는 사용자가 해당 파일을 실행하면, 숨김 속성으로 설정된 랜섬웨어가 실행된다. 이때 랜섬웨어는 일부 확장자를 제외하고 거의 모든 파일을 암호화한다.

 

 

이후 [사진 5]와 같이 갠드크랩 랜섬노트가 나타된다. 랜섬노트가 유도하는 주소를 접속하면 금전을 요구하는 페이지가 열리며 2000달러(한화 약 216만원)에 해당하는 암호화폐를 요구하고 있다.

 

 

랜섬웨어는 계속 변형된 형태로 끊임없이 퍼질뿐만 아니라 감염 시 금전적인 피해로 연결되고 있으므로 감염 예방을 위해 사용자들의 주의가 필요하다.

 

한편, 안랩은 지난 4월 25일, 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그와 누리집을 통해 갠드크랩(GandCrab) 2.1 버전 대응 방법을 공유했다.

 

► ‘갠드크랩 랜섬웨어 감염 확산 중...대응 방법은?’ 더 보기

 

또한 V3 제품군에서는 해당 갠드크랩 랜섬웨어를 다음과 같은 진단명으로 탐지하고 있다.

 

<V3 제품군 진단명>

- LNK/Starter

- LNK/Venuslocker

- Trojan/Win32.Gandcrab

 

AhnLab ASEC대응팀 제공