최근 '이미지 저작권 침해 확인 내용'의 내용이 담긴 악성 메일로 GandCrab 랜섬웨어가 유포되고 있어 이용자들의 주의를 당부드립니다.

이번에 발견된 메일은 개인 작가의 이미지를 무단으로 침해했다는 내용이 담겨 있으며, 이미지 확인을 위해 첨부 파일(.egg) 실행을 유도합니다.

[그림 1] '이미지 무단 침해 내용'이 담긴 악성 메일

첨부 파일 '이미지무단사용관련.egg'에는 실제 이미지와 문서로 위장한 '1.원본이미지_180621.jpg.lnk', '2.사용이미지_180621.jpg.lnk', '3.이미지 내용정리_180621.doc.lnk' 파일과 GandCrab 랜섬웨어 'yaqn.exe'가 있습니다.

[그림 2] 첨부파일 '이미지무단사용관련.egg'

이용자가 이미지를 보기 위해 바로가기 파일을 실행할 경우 명령어에 의해 GandCrab 랜섬웨어인 'yaqn.exe'가 실행됩니다. 다음은 바로가기 파일의 내용입니다.

[그림 3] GandCrab 랜섬웨어를 실행하는 바로가기 파일

GandCrab 랜섬웨어 'yaqn.exe'는 암호화 대상 파일 뒤에 '.CRAB' 확장자를 추가하며, 랜섬노트 'CRAB-DECRYPT.txt'를 읽으라는 내용이 담긴 이미지로 바탕화면을 변경합니다. 

[그림 4] 랜섬노트 실행을 유도하는 바탕화면

랜섬노트 'CRAB-DECRYPT.txt'는 암호화된 파일의 복호화를 위해 토르 웹 브라우저 혹은 Jabber 메신저로 접속을 유도하는 내용을 담고 있습니다.

[그림 5] GandCrab 랜섬노트 'CRAB-DECRYPT.txt'

다음은 토르 웹 브라우저로 접속했을 때 화면이고, 대시(DASH) 혹은 비트코인(BTC)로 결제를 요구합니다.

[그림 6] GandCrab 다크넷에서 가상 화폐 결제 화면

따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.

현재 알약에서는 관련 샘플들을 'Trojan.Downloader.LnK.Gen', 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.