경찰청 및 경찰서 사칭 갠드크랩 랜섬웨어 v5.1 여전히 기승
[보안뉴스 권 준 기자] 최근 몇 년 새 전 세계에 걸쳐 가장 큰 피해를 입히고 있는 갠드크랩 랜섬웨어. 우리나라에도 이력서, 경찰서, 저작권 침해 등을 사칭한 악성 메일에 포함돼 빈번하게 유포되고 있다.
▲비트디펜더가 공개한 갠드크랩 복호화 툴[이미지=ESRC]
이러한 가운데 최신 버전인 갠드크랩 랜섬웨어 v5.1의 복호화툴이 공개됐다. 이번 복호화툴은 백신업체인 비트디펜더, 루마니아경찰, 유로폴 및 다른 전 세계 기관들이 협력하여 개발한 툴로 알려졌다. 이는 최근 가장 많이 유포되고 있는 갠드크랩 랜섬웨어 v5.1에 감염돼 파일이 암호화돼도 해당 복호화툴을 사용하면 다시 볼 수 있는 길이 열렸다는 의미다.
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 이번에 새롭게 공개된 복호화 툴은 상위버전인 갠드크랩 v5.1로 암호화된 파일들도 복호화가 가능하지만, 이 툴로는 갠드크랩 2.x 버전과 3.x 버전에 감염된 파일들은 복호화가 불가능하다. 다만, 과거에 공개된 무료 복호화툴로 갠드크랩 v5.0.3까지 암호화된 파일들의 경우 복호화가 가능했다.
그러나 갠드크랩 랜섬웨어 v5.1의 복호화툴이 공개되고 거의 동시에 새로운 갠드크랩 랜섬웨어 버전인 5.2가 공개됐다고 ESRC 측은 밝혔다.
새롭게 공개된 갠드크랩 v5.2는 기존에 발견됐던 갠드크랩 랜섬웨어들과 동일하게 파일을 암호화 한 후, 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하며, txt 형식의 랜섬노트를 사용하는 것으로 분석됐다. 특히, 랜섬노트 및 변경하는 바탕화면에 v5.2라고 명시되어 있다.
경찰청 소환장 사칭 갠드크랩 랜섬웨어 v5.1 여전히 유포
갠드크랩 랜섬웨어 v5.2 출현과 함께 v5.1도 계속 유포되고 있는 것으로 드러났다. 최근 발견된 지방 경찰서의 출석 통지서 사칭 악성 메일에 이어, 이번에는 경찰청에서 소환장을 발부한 것처럼 위장한 통지서 사칭 악성 메일으로 갠드크랩 v5.1 랜섬웨어가 유포되고 있다고 ESRC 측은 밝혔다.
▲경찰청 소환장 통지서 악성 메일[이미지=ESRC]
해당 악성 메일 첨부파일 ‘Notices for ID 8174 02 242.zip’에는 갠드크랩 랜섬웨어인 ‘Case Notices.pdf.exe’가 포함돼 있어 이용자가 무심결에 첨부파일을 실행했을 경우 감염된다.
갠드크랩 5.1에 감염될 경우 파일 뒤에 임의의 확장자가 추가되면서 암호화되며, 결제 안내를 위해 바탕화면을 금전 결제를 요구하는 이미지로 변경하고, 각 폴더마다 ‘[임의의 문자열]-DECRYPT.txt’ 랜섬노트 파일을 생성하게 된다. 변경된 바탕화면은 암호화된 폴더에 있는 랜섬노트 파일을 실행하라는 내용을 표시하고 있으며, 바탕화면의 안내를 통해 확인되는 랜섬노트 내용은 결제를 위해 토르 웹 브라우저로 공격자 다크넷 서버로 접속 유도하는 내용을 담고 있다.
이번에 발견된 사칭 메일의 주요 키워드로는 소환장, 판사, 법 위반, 첨부된 통지, 및 귀하는… 으로 시작하는 경고 메시지가 있다. 하지만, 경찰은 출석 요구시 이메일을 사용하지 않으며, 공식 경찰관 이메일 주소는 ‘ID@police.go.kr’이기 때문에 각별한 주의가 필요하다.
ESRC 측은 “이러한 유형의 공격으로부터 랜섬웨어에 감염되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일에 주의해야 한다”며, “또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 한다”고 당부했다. 현재 알약에서는 해당 랜섬웨어를 ‘Trojan.Ransom.GandCrab’으로 탐지하고 있다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>