​
[그림 1] ‘다운’ 또는 ‘다운로드’ 검색어로 검색한 결과 페이지

만일 사용자가 [그림 1]과 같은 검색 결과 중에서 악성 웹사이트를 클릭할 경우, [그림 2]와 같이 공격자가 랜섬웨어 유포를 위해 만든 페이지가 포함된 웹사이트에 접속하게 된다.
　

[그림 2] 악성 페이지가 삽입된 웹사이트

실제로 공격자는 방문자의 의심을 피하기 위해 [그림 2]와 같이 커뮤니티의 문답 형식으로 위장하고 다운로드 링크를 표시하여 클릭을 유도하고 있다. 이 다운로드 링크를 클릭하면 사용자가 찾고자 했던 파일 대신 갠드크랩 랜섬웨어가 사용자 PC에 다운로드되어 파일들을 암호화하기 시작한다.
　

​
[그림 3] 갠드크랩 랜섬웨어에 의해 암호화된 파일

　

여기서 특징적인 것은 사용자가 다시 [그림 2]의 악성 웹사이트를 방문하면 이번에는 [그림 4]와 같이 정상적인 웹사이트로 연결된다. 이때 PC에 랜섬웨어가 설치되어 있지 않더라도 동일한 현상이 나타난다.
　

[그림 4] 재방문 시 나타나는 정상 웹사이트
　

V3 제품군에서는 최신 갠드크랩 랜섬웨어를 아래와 같은 진단명으로 탐지하고 있다.

<V3 제품군 진단명>

Win-Trojan/Gandcrab02.Exp

Trojan/Win32.Gandcrab


랜섬웨어 등 악성코드를 제작, 유포하는 공격자들은 성공률을 높이기 위해 지속적으로 다양한 방법을 이용하고 있다. 특히 이번 사례와 같이 사용자들이 포털 사이트에서 ‘다운로드’ 등의 검색어를 자주 이용한다는 점을 노리는 등 사용자 동향을 끊임없이 살피고, 그에 따라 맞춤형 공격 방식을 개발하고 있다.

이처럼 지속적으로 진화하는 공격으로부터 피해를 최소화하기 위해서는 평소 기본적인 보안 수칙을 준수하는 등 사용자의 노력이 반드시 필요하다. 특히 유틸리티 프로그램 등을 다운로드 할 때는 소프트웨어 제조사의 공식 홈페이지를 이용하고, 다운로드한 파일은 열거나 실행하기 전에 반드시 백신 프로그램으로 검사하는 습관을 들이는 것이 좋다. 이때 백신 프로그램의 엔진이 항상 최신 버전으로 업데이트 될 수 있도록 설정해 두는 것은 두말할 필요도 없겠다.

[출처 : 안랩(((www.ahnlab.com)]