check 3d gpu
바로가기
왼쪽 메뉴로 이동
본문으로 이동

갠드크랩 랜섬웨어 v5.0.1 확인...주의 필요

2018년 10월 02일(화)
공유하기

구글+구글+ 카카오톡카카오톡 카스카스 라인라인 밴드밴드 URL복사URL복사

URL 복사

아래의 URL을 길게 누르면 복사하실수 있습니다.

- 유포 방식, 구글 검색을 통해 소프트웨어 다운로드 파일로 위장

▲ js스크립트파일
▲ js스크립트 파일
체크멀(대표 김정훈)은 wermgr.exe 시스템 파일을 이용해 파일 암호화가 진행되는 갠드크랩 랜섬웨어 v5.0.1 버전이 확인됐다고 2일 밝혔다.

갠드크랩 랜섬웨어는 버전 업데이트 후 새로운 파일 확장명과 결제 안내 파일을 사용하는 형태로 수정됐으며, wermgr.exe 시스템 파일을 이용한다.

대표적인 유포 방식은 구글 검색을 통해 소프트웨어 다운로드 파일로 위장한 .js 스크립트 파일을 이용하는 것과 일치한다. 그 외에도 취약점 및 메일 첨부파일을 통한 윈도우 파워셸 방식으로 감염된다.

사용자가 인터넷 검색으로 다운로드한 압축 파일 내에 .js 스크립트 파일을 실행할 경우 .exe 악성 파일을 생성하고, wermgr.exe 시스템 파일에 랜섬웨어 기능을 수행하는 코드를 추가해 디스크 및 네트워크 드라이브에 연결된 문서, 사진 등의 파일을 암호화한다.

또한 사용자 PC에 설치되어 있는 백신 프로그램의 서비스를 중지시키거나 자동 삭제해 보안 기능을 무력화한다.

파일이 암호화될 경우 서로 다른 .<5~10자리 Random 확장명> 형태로 변경되며, 암호화된 폴더마다 <암호화 확장명>-DECRYPT.txt 결제 안내 파일이 생성된다.

특히 이 랜섬웨어는 취약점을 통한 자동 감염이 아니더라도 사용자가 인터넷 상에서 다운로드한 파일을 직접 실행해 감염되는 피해가 지속적으로 발생하고 있어 주의가 필요하다.

체크멀 관계자는 “앱체크는 wermgr.exe 시스템 파일을 통한 파일 암호화 행위를 정상적으로 차단하고 암호화된 파일에 대한 자동 복원을 지원한다”라며 “​인터넷에서 다운로드한 파일의 확장명이 .js 스크립트 파일인 경우 절대 실행하지 않도록 확장명을 확인해야 한다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

길민권 기자 mkgil@dailysecu.com

전체선택후 복사하여 주세요. 닫기