갠드크랩 랜섬웨어, 국내 피해 갈수록 확산

디자이너 명의 사칭해 저작권 위배된 이미지 확인 요청 메일로 링크 실행 유도
정상 프로그램인 스카이프, 카카오톡 등으로 위장해 압축파일로 유포

[보안뉴스 김경애 기자] 갠드크랩(GandCrab) 랜섬웨어가 국내를 타깃으로 기승을 부리고 있다. 국내에 감염 피해가 갈수록 확산되고 있어 이용자의 각별한 주의가 필요하다.

[이미지=한국인터넷진흥원]

갠드크랩 랜섬웨어는 컴퓨터 파일을 암호화 한 뒤 해독키를 제공하는 대가로 가상통화(Dash Coin)를 요구한다. 암호화가 완료된 파일 확장자를.CRAB으로 변경하고, 암호화된 폴더에 복호화 방법이 기술된 랜섬노트(CRAB-DECRYPT.txt)를 생성한다. 감염기기 식별을 위해 호스트(Host) 정보를 탈취하고, 암호화를 위해 특정 프로세스를 종료한다.

한국인터넷진흥원은 “랜섬웨어를 유포한 공격자는 많은 수의 감염을 위해 유포방식을 변경하면서 지속적으로 공격을 시도하고 있다”며 “피싱 메일과 같은 악성 이메일을 발송해 첨부된 파일을 열어보도록 유도하는 방법을 통해 감염시킨다”고 주의를 당부했다.

최근에는 디자이너 명의를 사칭해 저작권에 위배된 이미지 확인 요청으로 이미지 파일로 위장한 링크파일(.lnk)의 실행을 유도한다. 주로 보안 패치가 적용되지 않은 취약한 기기를 대상으로 특정 웹 사이트에 접속하면 감염시키는 방식으로 스크립팅 엔진 메모리 손상 취약점(CVE-2016-0189)을 이용해 DBD(Drive By Download) 기법으로 랜섬웨어를 다운로드하고 실행시킨다. 정상 프로그램(skype, kakaotalk 등)으로 위장해 압축파일 형태로 유포하는 사례도 있다.

따라서 각 기관‧기업 및 일반사용자는 피해 예방을 위해 보안을 강화하는 조치를 취해야 한다. 윈도우 등 OS 및 사용 중인 프로그램은 항상 최신 보안업데이트를 적용하고, 출처가 불분명한 메일과 링크를 실행하지 않도록 주의해야 한다. 뿐만 아니라 파일 공유사이트 등에서의 파일 다운로드 및 실행에 있어서도 각별히 주의하는 것이 바람직하다.

랜섬웨어 대응 방법은 보호나라 홈페이지 – 자료실 – 가이드 및 매뉴얼 – 34. 랜섬웨어 대응 가이드 & 35. 랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드를 통해 확인할 수 있다.
[김경애 기자(boan3@boannews.com)]

[출처] http://www.boannews.com/media/view.asp?idx=68663&mkind=1&kind=1