안티랜섬웨어 전문기업 체크멀(대표 김정훈)은 ‘갠드크랩(GandCrab)’ 랜섬웨어가 입사 지원서, 작가, 택배사로 사칭한 메일에 이어 채무 관련 문서로 유포되는 것을 확인했다며 사용자들의 각별한 주의가 요구된다고 5일 밝혔다.
갠드크랩 랜섬웨어는 5월 하순 취약점을 이용한 유포 행위를 중지했지만, 메일 본문에 포함된 링크 또는 첨부 파일을 통해 지속적으로 유포가 진행되고 있다. 특정 기업 또는 인물을 대상으로 발송된 메일에 포함된 링크를 클릭할 경우 MS 워드 문서(.doc)를 다운로드 하고, 문서가 열리면 ‘이 문서는 마이크로소프트 워드에 의해 보호됩니다. ‘콘텐츠 사용’을 클릭해 보호된 정보를 보세요’ 라는 문구가 표시된다.
사용자가 ‘콘텐츠 사용’ 버튼을 클릭하면 매크로 기능을 통해 text.png 파일을 다운로드하고 해당 사진 파일에는 ‘지불금을 받지 못할 경우 부채 회수를 위해 소송을 제기할 수 있음’을 경고하며 건물 위치와 전화 번호 및 팩스 번호까지 상세하게 기재돼 있다. MS 워드 문서의 메시지는 아주 짧은 시간동안 표시된 후 자동으로 갠드크랩 랜섬웨어가 실행된다.
문서, 사진, 음악 파일 등의 원본 파일에 .CRAB 확장명이 추가되며, 암호화된 폴더 내에는 CRAB-DECRYPT.txt 결제 안내 파일이 생성된다.
중요한 법적 내용이 담긴 것처럼 보이는 채무 관련 문서는 메일 수신자가 반드시 파일을 열어보도록 유도한다. 이는 기존의 입사 지원서, 저작권 관련 메일을 통한 방식과 같이 감염 확률이 높은 방식이므로 각별한 주의가 필요하다.
체크멀 관계자는 “기업 또는 개인 사용자에게 발송되는 메일 첨부 파일 또는 링크를 통해 다운로드된 MS 워드 문서가 매크로 기능 활성화를 요구할 경우에는 절대 허용하지 않도록 주의해야 한다”고 강조했다.
