check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

맹위 떨친 GandCrab 랜섬웨어 3.0으로 진화

2018년 05월 15일 화요일 김종수 기자 itman@ilovepcbang.com

더욱 진화된 갠드크랩(GandCrab) 랜섬웨어로 인한 심각한 피해가 속출하고 있어 PC방에서도 주의가 요구된다.

올해 1월부터 유포되기 시작한 갠드크랩 랜섬웨어는 지난 3월 한국 사용자를 노린 ‘비너스락커(VenusLocker)’를 유포했던 조직이 2.0으로 업그레이드된 버전을 유포한 정황이 발견된 바 있었는데, 최근 3.0으로 또 다시 업그레이드된 변종이 등장, 불특정 다수의 사용자를 노리고 있다.

2.0때부터 유창한 한국어 메일로 피해를 유발했던 갠드크랩은 △창작물 이용에 대한 저작권 관련 안내 메일 △이력서 관련 메일 △택배 관련 메일 △공공기관 관련 메일 등 다양한 사례를 위장한 메일로 수신자의 열람을 유도해 감염시킨다.

파일첨부 메일을 통해 주로 바로가기(.LNK) 파일과 랜섬웨어 메인 실행파일(.EXE)을 연결하는 수법으로 감염을 유도했던 갠드크랩은 최근 마이크로소프트 워드 문서의 매크로를 악용하는 방법도 동원하고 있어 무심코 문서를 열었다가 낭패를 겪을 수 있다.

일단 갠드크랩에 감염되면 모든 파일의 확장자는 .CRAB로 변조되고 폴더마다 CRAB-DECRYT.txt 파일이 생성된다. 모든 파일이 변조된 이후에는 PC를 강제로 재부팅시켜 바탕화면마저 변조해 아이콘을 확인할 수 없게 만든다.

그런 다음에는 비트코인이나 대쉬와 같은 암호화폐로 금전 지불을 유도한다. 금액을 확인하는 사이트에 접속하면 우선 평균 1,500달러 수준을 요구하고 일정 카운트를 시작한 뒤, 제한된 시간이 모두 지난 뒤에는 더 높은 금액을 지불을 종용한다.

한국랜섬웨어침해대응센터는 “GandCrab v3. 감염 시 반드시 안전모드로 재부팅해 ‘C:\[사용자명]\[사용자계정]\Appdata\Roaming\Microsoft(단축경로 : %appdata%\Microsoft)’의 경로에 생성된 exe 실행파일을 삭제해야만 추후 랜섬웨어가 자동적으로 실행되는 것을 막고 바탕화면의 아이콘을 확인할 수 있다”고 밝혔으며 “regedit.exe에 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce​ 경로로  남겨져 있는 실행 파일이 자동 실행을 유도하기 때문에 RunOnce에 등록되어있는 것이 있다면 삭제해야 한다”고 밝혔다.

더욱 지능적으로 진화한 랜섬웨어 등장에 PC방은 카운터 PC 보안에 주의해야 하는 상황이다. 중요한 데이터가 보관되어 있는 카운터 PC가 랜섬웨어에 피해를 입지 않도록 사용을 최소화하는 한편, 최신 보안 패치 적용과 정기적 백업 등 보안 수칙을 생활화해야 할 것으로 보인다.
▲ GANDCRAB V 3.0 감염으로 변조된 바탕화면
<저작권자 ⓒ 아이러브PC방 (www.ilovepcbang.com) 무단전재 및 재배포 금지>
최신뉴스