디자이너 실명 사칭한 랜섬웨어 여전히 기승 '주의'
갠드크랩 랜섬웨어 아직도 '기승'
지난해 독보적 피해 준 랜섬웨어
"첨부파일 클릭 절대 지양해야"
◇디자이너 실명 사칭한 이메일 통해 유포
14일 IT업계에 따르면 최근 '갠드크랩(GandCrab)' 랜섬웨어가 디자이너 이모씨의 실명 등을 사칭한 이메일을 통해 유포되고 있다.
공격자는 메일 수신자들에게 '자신이 제작한 이미지는 무료로 배포되는 이미지가 아니기에 저작권을 침해하지 말라'는 내용의 메일을 보내 첨부된 압축 파일을 열어보도록 유도한다.
"원본 이미지와 사용 중인 이미지를 같이 pdf로 정리해 보내드린다. 이게 작은 것 같아도 개인작가로 활동하는 저한테는 신경을 써야하는 부분이다. 확인하시고 조치 부탁드린다"고 작성돼 이용자의 의심을 피하고 있다.
첨부 파일 역시 '원본 이미지 pdf', '사용 중인 이미지 pdf' 등으로 명명돼 혼란을 가중시킨다.
◇갠드크랩 랜섬웨어는 어떤 것?
갠드크랩 랜섬웨어는 2018년을 대표하는 랜섬웨어이면서 가장 빈번하게 진화과정을 거쳐온 랜섬웨어 중 하나다. 2018년 1월에 최초 발견 후, 2018년 연말까지 꾸준히 버전을 업그레이드하면서 지속적으로 배포 중이다.
지난해 한국인터넷진흥원에 신고된 피해신고 자료를 살펴보면, 갠드크랩 랜섬웨어가 독보적인 피해를 줬다는 것을 확인할 수 있다. 국내 백신사에서 탐지된 통계 자료에서도 갠드크랩이 가장 많은 공격을 시도했던 것으로 나타났다.
갠드크랩 랜섬웨어는 다양한 방식으로 유포되었지만 국내에서 가장 큰 비중을 차지한 방식은 한글로 작성된 이메일에 파일을 첨부해 다양한 메시지를 통해 사용자로 하여금 첨부파일을 열어보도록 유도하는 공격이었다.
◇갠드크랩 랜섬웨어 감염 증상은?
갠드크랩 랜섬웨어에 감염되면 공격자는 사용자의 주요 파일이 사용할 수 없도록 암호화 시킨다. 확장자는 '.GDCB', '.KRAB' 등으로 변경된다.
또 피해자가 랜섬웨어 감염을 인지할 수 있도록 감염 사실 및 복구관련 안내 페이지를 생성하며, 특정 버전에서는 배경화면 또한 변경시킨다.
암호화 된 파일의 복구를 위해 토르 브라우저를 설치해야 하며 미화 3000달러 상당의 대시(DASH) 또는 비트코인(BitCoin)을 지불하도록 요구한다.
갠드크랩 랜섬웨어의 주요 목적이 금전적 이득에 있기 때문이다. 개발자는 다크웹에서 랜섬웨어를 제작해 판매하고 있으며 유포자는 다크웹을 통해 이 악성코드를 구매해 유포하고 감염시스템 정보, 복호화 키 정보 등을 웹 페이지를 통해 관리한다.
보안업체 이스트시큐리티는 "정상메일을 위장해 유포되고 있는 갠드크랩 랜섬웨어 공격이 지속되고 있다"며 "사용자 여러분께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 하이퍼링크 혹은 첨부파일 클릭을 지양해 주시길 바란다. 파일을 실행하기 전에는 백신 프로그램을 이용해 악성 여부를 확인해 주길 바란다"고 당부했다.
[email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지