체크멀(대표 김정훈)은 갠드크랩(GandCrab) 랜섬웨어 변종이 발견됐다고 3일 밝혔다.
갠드크랩 랜섬웨어는 올해 1월 처음 등장했다. 한국어로 작성된 이메일을 통해 표적 공격을 시도했다. 여전히 입사지원서, 채무, 이미지 도용·저작권 관련 메일을 통해 표적 공격을 일삼는다.
〃이메일 유포 방식 외에도 취약점을 통한 유포 행위도 있지만 5월 하순 이후 취약점 유포는 사라졌다. 갠드크랩 랜섬웨어 변종은 C&C 서버와 통신 없이 파일 암호화가 진행된다. 이메일, 문서 편집, SQL, 데이터 관련 프로세스 실행 시 종료 후 파일 암호화가 진행되는 것은 기존과 동일하다.
암호화된 파일은 '.KRAB' 파일 확장명이 추가되고 각 암호화 대상 폴더에는 'KRAB-DECRYPT.txt' 결제 안내 파일이 생성된다. 결제 안내 파일에 'GANDCRAB KEY' 정보와 'PC DATA' 정보가 포함 돼 있다.
생성된 KRAB-DECRYPT.txt 파일은 'GANDCRAB V4' 버전으로 표시된다. 토르(Tor) 웹 브라우저를 통해 특정 주소(.onion)로 접속해 비트코인, DASH 암호화폐로 지불하도록 한다.
체크멀 관계자는 “갠드크랩 랜섬웨어 v4 버전은 활발하게 유포가 이뤄질 가능성이 높다”면서 “메일 첨부파일, URL 링크를 통한 실행, MS 워드 문서 매크로 기능 실행을 통한 랜섬웨어 감염 등을 주의해야 한다”고 말했다.
정영일기자 jung01@etnews.com