갠드크랩 랜섬웨어2.0, 저작권 문제삼아 랜섬웨어 서비스 형태로 유포

[보안뉴스 김경애 기자] 이미지 저작권을 문제 삼아 이메일을 통해 랜섬웨어를 유포하는 사례가 발견돼 이용자들의 각별한 주의가 필요하다.


이번에 발견된 랜섬웨어는 갠드크랩(GANDCRAB) 랜섬웨어 2.0 버전으로 갠드크랩 랜섬웨어는 RaaS(Ransomware as a Service) 형태로 이메일을 통해 유포되고 있다.

이미지를 다루는 이용자를 타깃으로 유포되고 있으며, 피싱을 통해 첨부파일의 압축 풀기를 유도하고 있다. 압축파일을 풀면 바로가기 파일(lnk)을 통해 랜섬웨어 exe 파일이 실행된다.

공격자는 이메일에서 자신을 프리랜서 작가로 소개하며 ‘아무런 동의 없이 그림을 이용하면 저작권에 문제가 된다’등의 내용으로 이용자를 협박하며 랜섬웨어 감염을 유도하고 있다.

이미지를 다루는 이용자의 경우 이미지가 중요하기 때문에 랜섬웨어를 유포해 감염시키면 공격자에게 비용을 지불할 가능성이 높기 때문이다.

이와 관련 하우리 최상명 CERT실장은 “공격자는 랜섬웨어를 만들지 않아도 해당 서비스를 어둠의 시장에서 쉽게 구할 수 있어 랜섬웨어도 손쉽게 유포할 수 있다”며 “GOEKD 랜섬웨어의 경우 여러 공격자들이 사용하는 랜섬웨어라 추적을 해도 공격자가 식별될 가능성은 낮다”고 분석했다.

라온시큐어 이종호 연구원은 “이메일로 온 첨부파일은 확장자명을 보고 신중하게 열람해야 한다”며 “이번 공격의 경우 윈도우 기본설정에서 ‘알려진 파일확장명 숨기기’라는 기능이 켜져 있으면 더 큰 위험에 노출될 수 있다. 따라서 우측 상단에 ‘파일 확장명’ 체크가 해제된 상태라면 체크된 상태로 바꿔야 한다”고 말했다.

이는 공격자가 확장자를 숨겨 이용자에게는 ‘ok.txt’로 보이도록 하기 때문이다. 하지만 실제로는 exe 실행 파일이다. 따라서 이용자는 ‘응용 프로그램’ 또는 ‘바로 가기’인 경우 실행하지 않도록 주의하는 게 바람직하다.

이 외에도 문서파일의 알려진 취약점을 통한 공격도 많이 발견되고 있는 만큼 한글, 워드 등 소프트웨어의 최신 업데이트도 주기적으로 진행할 것을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>