금일(2019년 4월 19일) ESRC에서는 비너스락커(Venus Locker) 그룹이 또다시 입사지원서를 위장한 갠드크랩 v5.2을 유포한 정황을 포착하였습니다.

[그림 1] 입사지원서를 위장한 악성 메일 이미지

금일 발견된 입사지원서 사칭 메일 역시 지난 8일 발견된 입사지원서 사칭 메일과 동일하게  .egg 확장자의 알집 파일이 첨부되어 있었습니다.

또한, 발신자 주소로 한국에서 많이 사용하는 네이버를 사용했다는 점도 주목해 볼 만합니다.

최근 비너스락커(Venus Locker) 그룹은 알집 EGG 압축 포맷을 사용하여 변종들을 다량 유포하고 있는 중입니다.

첨부된 압축 파일을 해제하면 악성 파일을 PDF, JPG 1차 확장자로 위장하고 있으며, 다수의 빈 공백 다음에 PDF 2차 확장자로 한 번 더 위장하고, 마지막에 최종 EXE 실행 파일 확장자를 확인하실 수 있습니다. (메일 첨부파일마다 조금씩 상이할 수 있습니다.)

[그림 2] 악성 파일 확장자 화면

압축 파일 안의 파일명은 다음과 같습니다.

입사담당자가 해당 악성 파일을 PDF 파일로 착각하여 실행하면 다음과 같이 갠드크랩 v5.2에 감염됩니다.

[그림 3] PDF 파일로 위장한 악성코드 실행 파일 화면

이번에 발견된 랜섬웨어는 사용자 PC가 랜섬웨어에 감염되면 .VLNBVPCD 랜섬노트를 바탕화면에 생성하고 모든 파일은 .VLNBVPCD 확장자가 붙은 암호화 파일로 변경합니다.

[그림 4] VLNBVPCD 랜섬노트 이미지

[그림 5] 갠드크랩 감염으로 암호화된 파일

이번 갠드크랩도 토르 웹 브라우저로 접속하여 암호화된 파일을 복호화 하기 위해 랜섬머니를 지불할 것을 요구하고 있습니다.

[그림 6] 갠드크랩 v5.2 감염 이미지

채용 담당자분들께서는 출처가 불분명한 사용자에게서 온 이메일에 포함된 첨부파일 다운로드를 지양해 주시기 바라며, 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부를 확인해 주시기 바랍니다. 

알약에서는 해당 악성 샘플에 대하여 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.