​
 [그림 1] 갠드크랩 랜섬웨어(v3.0)가 변경한 바탕화면

갠드크랩 랜섬웨어를 비롯한 대부분의 랜섬웨어는 일단 감염되면 암호화된 파일을 복구하기 어렵기 때문에 사용자의 더욱 각별한 주의가 필요하다. 특히 갠드크랩 랜섬웨어에 주로 감염되는 경로는 다음과 같이 크게 3가지로, 미리 알아두고 주의하도록 하자.


1. 스팸 메일을 이용한 감염

스팸 메일은 순식간에 수많은 사람들에게 발송할 수 있기 때문에 랜섬웨어는 물론 악성코드 유포 경로로 끊임없이 활용된다. 특히, 랜섬웨어는 감염자가 많으면 많을수록 공격자 입장에서 더 많은 수익을 얻을 가능성이 높기 때문에 스팸 메일을 통한 랜섬웨어는 앞으로도 계속될 전망이다.

일반적으로 스팸 메일을 ‘열기만’ 하는 것으로는 악성코드에 감염되지 않는다. 그러나 사용자가 실수로라도 메일 본문 내의 링크(URL)을 클릭하거나 첨부 파일을 열면 랜섬웨어나 악성코드 감염을 피하기 어렵다. 본문의 텍스트에 악성코드를 다운로드하는 URL을 교묘하게 숨겨놓는 경우도 많아 조금이라도 스팸 메일로 의심된다면 아예 메일을 열어보지 않는 것이 바람직하다.

문제는 최근 유포되는 스팸 메일은 교묘한 사회공학기법을 이용해 사용자들이 미처 스팸 메일로 의심하기 어려운 경우도 많다. 실제로 최근 갠드크랩 랜섬웨어가 이력서 지원 메일로 위장해 기업의 인사팀에 집중적으로 유포되었으며, [그림 2]와 같이 이미지 도용을 항의하는 메일로 위장해 감염을 유도한 사례도 잇따라 확인되고 있다.
　

​
[그림 2] 이미지 도용 항의 메일로 위장한 갠드크랩 랜섬웨어

이들 메일은 모두 본문이 한글로 작성되어 있으며, 첨부 파일의 이름 또한 ‘이력서’, ‘이미지도용건’ 등으로 위장해 사용자가 열어보도록 유도하고 있다. 특히 이들 첨부 파일은 국내에서 주로 사용되는 압축 포맷(.EGG) 형태로 제작되어 있다. 항의 메일로 위장한 갠드크랩 랜섬웨어에 관한 보다 자세한 내용은 지난 시큐리티레터 719호에서 확인할 수 있다.

►더 보기: 시큐리티레터 719호

해외에서 유포된 스팸 메일 또한 이력서로 위장하고 있는데, 국내의 유포 방식과 달리 첨부 파일 대신 메일 본문 내의 이력서(resume)라는 텍스트에 외부 URL 주소로 연결되는 하이퍼링크를 삽입하여 사용자의 클릭을 유도하고 있다.


2. 크랙 프로그램으로 위장해 감염

‘크랙(crack) 프로그램’으로 위장해 유포된 갠드크랩 랜섬웨어도 있다. 크랙 프로그램은 상용 소프트웨어의 정품 인증을 회피하는 불법적인 유틸리티 프로그램으로, 대개 온라인 커뮤니티나 토렌트, 혹은 개인 웹사이트나 블로그를 통해 암암리에 유포되고 있다.
　

​
[그림 3] 크랙 프로그램 배포 사이트로 위장한 갠드크랩 랜섬웨어 유포

[그림 3]은 크랙 프로그램 배포 페이지로 위장한 사이트이다. 사용자가 페이지 중간 부분에 있는 링크(빨간색 표시 부분)를 클릭하면 공격자가 만들어 둔 웹사이트에 연결되는데, 이를 알 수 없는 사용자는 크랙 프로그램으로 위장한 악성 실행 파일([그림 4])을 다운로드하고 갠드크랩 랜섬웨어에 감염된다.

​
[그림 4] 크랙 프로그램으로 위장한 악성 실행 파일

여기에서 크랙 프로그램을 배포한 웹사이트는 갠드크랩 랜섬웨어 공격자에 의해 침해당한 사이트로 추정된다. 공격자들은 예전부터 주로 워드프레스(Wordpress) 기반의 웹 사이트를 공격해 몰래 악성코드를 삽입하는 방식을 이용하고 있다.


3. 멀버타이징 방식에 의한 감염

‘멀버타이징(Malvertising)’은 악성코드(Malware)와 광고(Advertising)의 합성어로, 인터넷 사이트에 삽입되는 광고를 이용하여 악성코드를 유포하는 방법이다. 웹 사이트에서 흔히 볼 수 있는 광고는 웹 사이트의 아래쪽이나 오른쪽에 이미지를 삽입하여 광고를 노출하는, 이른바 ‘배너 광고’ 형태다. 바로 이 광고 영역을 악용한 악성코드 유포 방식이 멀버타이징이다.

멀버타이징 공격 방법은 크게 2가지로, 공격자가 광고주로 위장하여 광고권을 구매하고 직접 악성 광고 배너를 노출하는 방법과 정상적인 광고 서버를 해킹하여 도용하는 방법이다. 이들 두 가지 방식 모두 공격자는 악성코드 유포 도구인 익스플로잇 킷(Exploit Kit)을 이용해 사용자의 웹 브라우저 취약점을 통해 악성코드를 감염시킨다. 사용자는 웹사이트에서 파일을 다운로드하거나 실행하는 등의 행동을 하지 않았음에도 불구하고 악성코드에 감염되기 때문에 감염을 주의하기도, 감염 사실을 알아차리기 어렵다.

최근에는 이미지 형태의 배너 광고 외에도 동영상 스트리밍 서비스를 이용한 멀터바이징 공격 사례도 종종 발생하고 있다. 동영상 스트리밍 서비스 시 제공되는 광고의 연결 사이트 스크립트를 악용하는 것으로, 사용자가 [그림 5]와 같은 스트리밍 플레이어 영역을 클릭할 때 팝업 창으로 연결되는 광고 사이트에 악성코드를 삽입해 감염을 유발하는 방식이다.

​
[그림 5] 동영상 스트리밍 플레이어 영역에 삽입된 스크립트

MDS, V3 등 안랩 제품은 최신 갠드크랩 랜섬웨어 변종을 탐지 및 대응하고 있다. V3 제품군에서탐지하는 갠드크랩 랜섬웨어 진단명은 다음과 같다.


<V3 제품군 진단명>

V3(엔진버전-2018.04.23.08): LNK/Starter
V3(엔진버전-2018.04.23.08): LNK/Venuslocker
V3(엔진버전-2018.04.25.00): Trojan/Win32.Gandcrab
V3(엔진버전-2018.04.27.08): Trojan/Win32.Gandcrab
V3(엔진버전-2018.05.03.00): Win-Trojan/Gandcrab.Exp


랜섬웨어는 감염을 피하는 것이 최선….보안 업데이트 적용은 필수

위에서 살펴본 바와 같이 갠드크랩 랜섬웨어를 비롯한 최신 악성코드는 교묘한 방식으로 사용자를 속이고 감염되어 피해를 낳고 있다. 특히 랜섬웨어는 특성 상 일단 감염되면 피해를 입은, 즉 암호화된 파일의 복구는 사실상 불가능하다. 암호화된 파일을 복호화를 하기 위해서는 공격자가 갖고있는 키(개인키)가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일 복구는 불가능하기 때문이다. 사용자의 사전 감염 예방이 강조되는 이유도 이 때문이다.

따라서 갠드크랩 랜섬웨어를 비롯한 악성코드 감염을 예방하기 위해서는 운영체제(OS)와 주요 소프트웨어 프로그램의 최신 보안 업데이트를 적용하고, V3 등 사용 중인 백신의 엔진을 최신 버전으로 유지하고 실시간 감시 기능을 사용하는 것이 중요하다 이와 함께 의심스러운 웹사이트 접속이나 이메일 열람을 하지 않는 것과 출처가 불분명하거나 불법 콘텐츠 파일을 다운로드 하지 않는 것이 바람직하다.

[출처 : 안랩(((www.ahnlab.com)]