​

(*이미지 출처: shutterstock.com)

갠드크랩은 불법으로 인증 키를 생성하는 키젠(Keygen) 프로그램에 숨어 토렌트나 신뢰할 수 없는 사이트를 통해 유포되었다. [그림 1]은 같은 버전의 갠드크랩이 키젠으로 위장해 다양하게 유포되었음을 보여준다.

​
[그림 1] 크랙 프로그램으로 위장한 갠드크랩 랜섬웨어

[그림 1]의 KeyGen.exe 파일을 실행할 경우 본래 목적인 인증을 우회하는 역할을 수행함과 동시에 갠드크랩 랜섬웨어를 다운로드 할 수 있는 파일을 사용자 몰래 생성한다. 이후 생성된 악성 파일이 갠드크랩 랜섬웨어를 추가로 다운로드해 사용자 PC에 심는다. 화면에는 [그림 2]와 같이 인증키를 생성하는 창이 나타나기 때문에 사용자는 악성 코드에 감염된 것을 인지하기 힘들다.
　

​
[그림 2] 인증키를 생성하는 화면

　

2018년에 이어 올해에도 갠드크랩은 새로운 변형과 다양한 유포 방법을 통해 공격을 지속하고 있다. 국내 사용자를 대상으로 송장 및 이력서로 위장한 스팸 메일의 첨부 파일로 유포되거나 앞서 설명한 크랙 프로그램을 통해 유포되는 등 사용자의 PC에 숨어들기 위해 다양한 방법을 사용하고 있는 것이다.

이와 같은 피해를 입지 않기 위해 토렌트와 같은 파일 공유 사이트나 신뢰할 수 없는 웹 사이트의 사용을 자제하고 정품 프로그램을 이용하거나 제조사의 사이트에서 다운받은 프로그램을 이용하는 것이 중요하다.

V3 제품군에서는 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Win-Trojan/VBKrypt.RP05

Trojan/Win32.Gandcrab

Trojan/Win32.Agent

[출처 : 안랩(((www.ahnlab.com)]