갠드크랩 랜섬웨어, '채무 관련 문서' 위장 유포

갠드크랩(GandCrab) 랜섬웨어가 입사 지원서, 작가, 택배사 사칭 방식에 이어 채무 관련 문서로 위장 유포 돼 사용자 주의가 요구된다.

5일 체크멀, 이스트시큐리티 등에 따르면 국내에서 꾸준히 유포되는 갠드크랩 랜섬웨어는 지난달 말 취약점을 이용한 유포 행위를 중지했다. 반면 메일 본문에 포함된 링크 또는 첨부 파일을 통해 여전히 랜섬웨어 유포를 진행하는 것으로 타나났다.

〃특정 기업, 인물을 대상으로 발송된 메일에 포함된 링크를 클릭하면 MS Word 문서(.doc)를 다운로드 하고, 문서가 열리면 '이 문서는 Microsoft Word에 의해 보호됩니다. 콘텐츠 사용 을 클릭해 보호된 정보를 보세요.' 라는 문구가 표시된다.

갠드크랩 랜섬웨어, '채무 관련 문서' 위장 유포

사용자가 '콘텐츠 사용' 버튼을 클릭하면 매크로(Macro) 기능을 통해 'text.png' 파일을 다운로드한다. 해당 사진 파일에는 '지불금을 받지 못할 경우 부채 회수를 위해 소송을 제기할 수 있음'을 경고한다. 건물 위치와 전화 번호, 팩스 번호까지 상세하게 기재했다. MS Word 문서 메시지는 짧은 시간동안 표시된 후 자동으로 갠드크랩 랜섬웨어가 실행된다. 문서, 사진, 음악 파일 등 원본 파일에 '.CRAB' 확장명이 추가된다. 암호화된 폴더 내에는 'CRAB-DECRYPT.txt' 결제 안내 파일이 생성된다.

갠드크랩 랜섬웨어, '채무 관련 문서' 위장 유포

중요한 법적 내용이 담긴 것처럼 보이는 채무 관련 문서는 메일 수신자가 반드시 파일을 열어보도록 유도한다. 기존 입사 지원서, 저작권 관련 메일을 통한 방식과 같이 감염 확률이 높은 방식이다.

문종현 이스트시큐리티 이사는 “정상 피고인 소환장은 이메일이 아닌 판사 이름과 직인이 날인된 등기 우편으로 전달된다”면서 “공격은 주로 이메일에 첨부된 파일을 통해 랜섬웨어를 유포했던 과거와 달리, 악성 URL로 접속을 유도해 랜섬웨어를 감염시키는 방식을 사용한다”고 말했다.

체크멀 관계자는 “기업 또는 개인 사용자에게 발송되는 메일 첨부 파일 또는 링크를 통해 다운로드 된 MS Word 문서가 매크로(Macro) 기능 활성화를 요구할 경우 절대 허용하지 않도록 주의해야 한다”고 말했다.

정영일기자 jung01@etnews.com