최근 이력서, 교통범칙금 고지서 등으로 위장한 갠드크랩 랜섬웨어가 기승을 부린다. 갠드크랩 랜섬웨어는 매그니버 랜섬웨어 등과 달리 복호화도 어려워 사용자 주의가 요구된다.
10일 안랩, 이스트시큐리티, 체크멀 등 보안업계에 따르면 최근 갠드크랩 랜섬웨어 피해사례 접수가 늘었다. 갠드크랩 랜섬웨어는 올해 초 이미지 도용 등에 항의하는 메일로 위장해 유포되다 최근 입사지원 메일, 교통범칙금 등 방식을 변화해 공격한다.
갠드크랩 랜섬웨어가 포함된 메일은 '채용공고보고 지원하는 000입니다'로 시작해 이전직장 경력 사항 등 간단한 서술을 덧붙인다. 실제 입사지원메일과 유사하게 작성해 함께 첨부된 '.egg' 압축파일을 열도록 유도한다. 해당 파일을 실행하면 악성코드가 설치돼 PC 내 파일을 암호화한다. 이후 파일 뒤에는 '.CBAB'확장자명이 추가된다.
공격자는 암호화 해제를 위해 '토르' 브라우저를 설치하고 특정 사이트에 접속하라고 요구한다. 사이트 방문 시 미화 1200달러가량 대쉬(DASH) 등 암호화폐를 요구한다. 이메일 통한 갠드크랩 랜섬웨어는 유포 방식을 다양화 해 공격한다. 해당 파일은 유창한 한국어를 구사해 이메일 내용만으로는 악성코드 포함 여부를 알기 어렵다.
문종현 이스트시큐리티 이사는 “2016년 말 '비너스락커' 랜섬웨어가 처음 유창한 한국어를 바탕으로 이메일 통해 기관, 일반 기업, 언론사 등을 공격하기 시작했다”면서 “갠드크랩도 이와 유사한 형태로 택배, 이력서, 저작권관련 내용 등 메일 내용을 변경해 악성코드를 유포한다”고 설명했다.
갠드크랩 랜섬웨어는 웹페이지 다운로드 방식으로도 감염된다. 보안 패치가 적용되지 않은 PC를 이용하거나 해커가 침투한 웹사이트에 접속하면 랜섬웨어가 자동 다운로드된다. 스카이프나 카카오톡 등 정상 프로그램을 위장해 압축파일 형태로 유포되기도 한다.
갠드크랩 랜섬웨어는 기존 매그니버 랜섬웨어와 달리 복호화도 어렵다. 안랩은 최근 매그니버 랜섬웨어 복호화 툴을 공개·배포했다. 매그니버 랜섬웨어는 파일자체에 '복호화 키'를 갖고 있지만 갠드크랩은 서버에 키를 저장한다. 파일 복구가 어려워 범죄 집단에 돈을 지불하고 파일암호를 해제하는 일도 비일비재하다.
체크멀 관계자는 “매그니버 랜섬웨어 복호화 툴이 공개되자 공격자는 복호화가 어려운 갠드크랩 랜섬웨어를 이용하기 시작했다”면서 “'egg'형태 첨부파일로 랜섬웨어가 유포되기 때문에 알집형태 파일 다운로드에 주의해야 한다”고 조언했다.
정영일기자 jung01@etnews.com