디자이너가 저작권 침해에 항의하는 내용으로 위장한 랜섬웨어가 등장해 각별한 주의가 요구된다.
이스트시큐리티는 한국 맞춤형 비너스락커 랜섬웨어를 유포했던 조직이 ‘갠드크랩(GandCrab) v2.0’ 랜섬웨어를 이메일 첨부파일 형태로 유포하고 있는 정황이 발견됐다고 27일 밝혔다. 공격자들은 실제 디자이너의 이름과 프로필 사진이 있는 이메일을 이용하며, 수신자가 자신의 디자인 작품을 무단 도용해 사용하고 있어 저작권 침해를 하지 말아 달라는 유창한 한국어로 작성된 안내와 함께, 첨부된 압축 파일을 열어보도록 유도한다.
첨부된 압축 파일을 열어보면 ‘원본이미지.jpg’, ‘사용이미지.jpg’, ‘사이트 링크정리.doc’라는 이름의 파일이 보여 사용자가 별다른 의심 없이 파일을 실행시키도록 현혹하지만, 실제 이 파일은 이미지나 MS 워드 문서가 아닌 이중 확장자로 숨겨진 바로가기(.lnk) 파일이다.
사용자가 의심 없이 이 파일을 실행하면 함께 첨부된 랜섬웨어 파일인 ‘this.exe’가 자동으로 실행되고, PC 내 주요 파일들이 암호화된다.
갠드크랩 랜섬웨어 v1.0버전은 파일 암호화 해제의 대가로 비트코인이 아니라 ‘대시(Dash)’ 지불을 요구하는 첫 번째 랜섬웨어로 알려진 바 있으며, 계속해서 진화된 변종이 등장하고 있는 상태다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 한국에 유포되고 있는 갠드크랩 랜섬웨어에 감염될 경우 HWP 문서파일 등을 포함해 다양한 데이터들이 암호화되며, 암호화된 파일들은 기존 확장자에 ‘.CRAB’ 확장명이 추가되는 것으로 분석했다.
이와 함께 사용자 PC의 다양한 경로에 ‘CRAB-DECRYPT.txt’ 랜섬노트 파일이 생성되고, 토르(Tor) 브라우저를 통해 파일 암호화 해제의 대가로 가상화폐 대시(DASH) 지불을 요구하는 안내창이 나타난다.
현재 공격자는 약 1.53 DSH를 결제하도록 유도하고 있으며, 2018년 3월 27일 한국의 가상화폐 시세 기준 1 DSH가 약 43만원 선에서 거래가 이루어지고 있는 것을 감안하면 감염 피해자는 약 65만 원 이상의 몸값 지불을 요구받는 셈이다.
또한 ESRC는 공격자가 사용하고 있는 바로가기 파일을 이용한 감염기법이 2016년부터 발견된 비너스락커 랜섬웨어와 동일한 코드로 제작댔고, 이메일 문장에 대체로 마침표를 사용하지 않는 등 한국 맞춤형 비러스락커 랜섬웨어를 유포했던 조직의 소행으로 추정되는 유사점도 발견했다.
이스트시큐리티 시큐리티대응센터의 문종현 이사는 “현재 추정되는 갠드크랩 랜섬웨어 공격자는2016년 비너스락커 랜섬웨어 유포를 시작으로, 한국을 주요 공격 대상으로 삼고 1년 넘게 활동하며 각종 랜섬웨어와 가상화폐 마이너 등의 악성코드를 집중 유포하고 있는 특징이 있다”며 “유창한 한글로 작성되었고 본인의 업무나 직업 등 유관한 내용을 담고 있는 이메일을 수신할 경우에도, 첨부파일을 열기 전 이미지나 문서파일로 위장한 바로가기 유형의 이중 확장명을 가지고 있는 것은 아닌지 반드시 확인하는 주의가 필요하다”고 강조했다.
