경찰청, 갠드크랩 랜섬웨어 악성코드 이메일 경보! 웹사이트 검사하기

악성 이메일을 이용한 ‘갠드크랩'(GandCrab) 랜섬웨어를 주의하세요!

경찰청 사이버안전국은 12일 ‘랜섬웨어(Ransom Ware) 피해 경보’를 발령했다.

최근 경찰서를 사칭한 ‘온라인 명예훼손 관련 출석통지서’라는 제목으로 “출석요구서.rar” 파일이 첨부된 악성코드 유포 이메일이 발견된 것이다.

이와 같은 메일을 수신할 경우에는 절대로 첨부 파일을 클릭하지 않도록 주의해야 한다.

첨부 파일을 실행하면 워드파일로 위장하고 있던 악성코드가 실행되어 컴퓨터 등이 랜섬웨어에 감염된다.

그 외에도 이메일 관련 유포 방법으로 저작권에 위배되었으니 첨부파일의 이미지를 확인해달라는 내용, 소송에 관련된 내용으로 법원을 사칭하여 메일을 보내므로 수상한 메일은 열지말고 삭제하도록 한다.

감염 증상

갠드크랩 랜섬웨어에 감염되면 사용자의 주요 파일이 사용할 수 없도록 암호화시키며, 확장자는 “.GDCB”, “.KRAB”등으로 변경된다.

또한 피해자가 랜섬웨어 감염을 인지할 수 있도록 감염 사실 및 복구관련 안내 페이지를 생성하며, 특정 버전에서는 배경화면 또한 변경시킨다.

갠드크랩 랜섬웨어의 주요 목적은 금전적 이득(가상화폐) 이다.

개발자는 다크웹에서 RaaS(Ransomware as a Service)를 기반으로 랜섬웨어를 제작해 판매하고 있으며 유포자는 다크웹을 통해 이 악성코드를 구매해 유포하고 감염시스템 정보, 복호화 키 정보 등을 웹 페이지를 통해 관리한다.

이메일 이외의 랜섬웨어 유포방법

악성코드에 감염된 홈페이지는 구글 광고도 진행을 못한다.

구글의 자동 감지 시스템에 의해 방문자에게 피해가 우려되는 악성코드 등에 감염된 사이트로 판명되면 광고 게재가 중단된다.

탈취한 홈페이지를 통한 유포

공격자는 워드프레스로 작성된 홈페이지를 탈취하여 다수의 웹페이지를 삽입하고, 업로드한 파일을 의심 없이 다운로드 받을 수 있도록 검색 포털 사이트를 통해 가장 상위에 노출되도록 설정하였다.

삽입된 웹페이지는 모두 동일한 형태로 구성되어 있었다. 명시된 링크 클릭시 유포지로 설정된 URL로 접속하여 정상파일로 위장한 랜섬웨어를 다운로드 받는다.

또한, 웹페이지 내부에 특정 스크립트를 삽입3)하여 한번 접속한 웹페이지는 사용할 수 없도록 페이지를 삭제하여 정상적인 페이지4)가 나타날 수 있도록 하였다.

멀버타이징을 통한 유포

공격자는 취약한 광고페이지를 통해 멀버타이징 기법으로 랜섬웨어를 유포하였다.

최신 보안업데이트가 되지 않은 불특정 다수를 대상으로 몇 가지 익스플로잇 킷을 이용하여 공격을 시도하였다.

하지만, 보안소프트웨어 설치 및 최신 보안 업데이트가 적용되어 있는 시스템의 경우 감염시키기 어렵다는 문제로 국내에서는 다른 유포 방법을 많이 사용하는 것으로 확인되고 있다.

무료 온라인 맬웨어 스캐너 검사결과

워드프레스 뉴스사이트 김타쿠닷컴 홈페이지 맬웨어 스캔을 해봤다.

일본나까마가 제작한 외부 사이트 2개가 악성코드에 감염된 것으로 나타났다. 악성코드에 감염된 타 사이트를 링크하는 것도 문제가 된다.

웹사이트 제작 이후 유지관리 계약을 맺지 않아 감염된 상태로 방치되고 있다.

이런 사이트가 의외로 많다. 김타쿠닷컴 포트폴리오에서 2개의 외부링크를 삭제했다.

워드프레스로 홈페이지 제작 후에는 외부 해킹 및 공격을 방어하는 보안 플러그인을 반드시 설치하고, 웹사이트가 느려지거나 이상하면 반드시 보안 점검을 하도록 한다.

보안 관련 사이트

한국 랜섬웨어침해대응센터 

한국인터넷진흥원 인터넷보호나라

갠드크랩 랜섬웨어 악성코드 분석 기술 보고서