이스트소프트의 보안 자회사 이스트시큐리티(대표 정상원)는 2016년 12월부터 국내 주요 기관, 기업 및 인터넷 커뮤니티 사용자를 타깃으로 한국 맞춤형 '비너스락커(VenusLocker)' 랜섬웨어를 유포했던 조직이, 최근 '갠드크랩(GandCrab) v2.0' 랜섬웨어를 이메일 첨부파일 형태로 유포하고 있는 정황이 발견됐다고 27일 밝혔다.
 
갠드크랩 랜섬웨어 v1.0버전은 파일 암호화 해제의 대가로 가상화폐 중 비트코인(Bitcoin)이 아닌 대시(Dash) 지불을 요구하는 첫 번째 랜섬웨어로 알려진 바 있으며, 계속해서 진화된 변종이 등장하고 있는 상태다.
 
이스트시큐리티 시큐리티대응센터(이하 ESRC)에 따르면 이번에 발견된 공격자는 실제 활동 중인 국내 디자이너의 실명과 프로필 사진 등을 사칭한 이메일을 관련 분야 종사자들에게 배포하는 공격 방식을 사용하고 있다.
 
이메일은 내용은 수신자가 자신의 디자인 작품을 무단 도용해 사용하고 있어 저작권 침해를 하지 말아 달라는 유창한 한국어로 작성된 안내와 함께, 첨부된 압축 파일을 열어보도록 유도한다.
 
첨부된 압축 파일을 열어보면 '원본이미지.jpg', '사용이미지.jpg', '사이트 링크정리.doc'라는 이름의 파일이 보여 사용자가 별다른 의심 없이 파일을 실행시키도록 현혹하지만, 실제 이 파일은 이미지나 MS 워드 문서가 아닌 이중 확장자로 숨겨진 바로가기(.lnk) 파일이다.
 
사용자가 의심 없이 이 파일을 실행하면 함께 첨부된 랜섬웨어 파일인 'this.exe'가 자동으로 실행되고, PC 내 주요 파일들이 암호화된다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 한국에 유포되고 있는 갠드크랩 랜섬웨어에 감염될 경우 HWP 문서파일 등을 포함해 다양한 데이터들이 암호화되며, 암호화된 파일들은 기존 확장자에 '.CRAB' 확장명이 추가되는 것으로 분석했다.
 
이와 함께 사용자 PC의 다양한 경로에 'CRAB-DECRYPT.txt' 랜섬노트 파일이 생성되고, 토르(Tor) 브라우저를 통해 파일 암호화 해제의 대가로 가상화폐 대시(DASH) 지불을 요구하는 안내창이 나타난다.
 
현재 공격자는 약 1.53 DSH를 결제하도록 유도하고 있으며, 2018년 3월 27일 한국의 가상화폐 시세 기준 1 DSH가 약 43만원 선에서 거래가 이루어지고 있는 것을 감안하면 감염 피해자는 약 65만 원 이상의 몸값 지불을 요구받는 셈이다.
 
또한, ESRC는 공격자가 사용하고 있는 바로가기 파일을 이용한 감염기법이 2016년부터 발견된 비너스락커(VenusLocker) 랜섬웨어와 동일한 코드로 제작되었고, 이메일 문장에 대체로 마침표를 사용하지 않는 등 한국 맞춤형 비러스락커(VenusLocker) 랜섬웨어를 유포했던 조직의 소행으로 추정되는 유사점도 발견했다.
 
이스트시큐리티 시큐리티대응센터 문종현 이사는 “현재 추정되는 갠드크랩(GandCrab) 랜섬웨어 공격자는2016년 비너스락커 랜섬웨어 유포를 시작으로, 한국을 주요 공격 대상으로 삼고 1년 넘게 활동하며 각종 랜섬웨어와 가상화폐 마이너 등의 악성코드를 집중 유포하고 있는 특징이 있다”며, “유창한 한글로 작성되었고 본인의 업무나 직업 등 유관한 내용을 담고 있는 이메일을 수신할 경우에도, 첨부파일을 열기 전 이미지나 문서파일로 위장한 바로가기 유형의 이중 확장명을 가지고 있는 것은 아닌지 반드시 확인하는 주의가 필요하다”고 강조했다.
 
현재 이스트시큐리티는 '갠드크랩(GandCrab) v2.0' 랜섬웨어의 확산과 피해 방지를 위해 한국인터넷진흥원(KISA)과 관련 정보를 신속히 공유하는 등 긴밀한 협력을 진행하고 있다.
 
아울러 회사 측은 “통합 백신 '알약'에서는 이번 랜섬웨어 공격에 활용된 악성 바로가기(.lnk) 파일과 랜섬웨어를 각각 'Trojan.Downloader.LnK.gen', 'Trojan.Ransom.GandCrab' 탐지명으로 진단하고 치료하고 있다”라며, “이 밖에 알려지지 않은 갠드크랩 변종도 알약 랜섬웨어 행위기반 사전 차단 기술로 방어가 가능한 상태"라고 설명했다.