뉴스/보도자료

체크멀 보안 솔루션의 새로운 소식을 다양한 보도 매체를 통해 제공하고 있습니다.

채무 관련 문서를 이용한 갠드크랩 랜섬웨어, 이메일 주의

안티랜섬웨어 전문기업 체크멀은 갠드크랩(GandCrab) 랜섬웨어가 입사 지원서, 작가 및 택배사로 사칭한 메일에 이어 채무 관련 문서로 유포되는 것을 확인하였다고 밝혔다.

국내에서 꾸준히 유포되고 있는 갠드크랩 랜섬웨어는 5월 하순경 취약점을 이용한 유포 행위를 중지하였지만, 메일 본문에 포함된 링크 또는 첨부 파일을 통해 지속적으로 유포가 진행되고 있다.

특정 기업 또는 인물을 대상으로 발송된 메일에 포함된 링크를 클릭할 경우 MS Word 문서(.doc)를 다운로드 하고, 문서가 열리면 "이 문서는 Microsoft Word에 의해 보호됩니다. “콘텐츠 사용”을 클릭하여 보호된 정보를 보세요." 라는 문구가 표시된다.

사용자가 "콘텐츠 사용" 버튼을 클릭하면 매크로(Macro) 기능을 통해 text.png 파일을 다운로드하고 해당 사진 파일에는 “지불금을 받지 못할 경우 부채 회수를 위해 소송을 제기할 수 있음”을 경고하며 건물 위치와 전화 번호 및 팩스 번호까지 상세하게 기재되어 있다.

MS Word 문서의 메시지는 아주 짧은 시간동안 표시된 후 자동으로 갠드크랩 랜섬웨어가 실행된다. 문서, 사진, 음악 파일 등의 원본 파일에 .CRAB 확장명이 추가되며, 암호화된 폴더 내에는 CRAB-DECRYPT.txt 결제 안내 파일이 생성된다.

중요한 법적 내용이 담긴 것처럼 보이는 채무 관련 문서는 메일 수신자가 반드시 파일을 열어보도록 유도한다. 이는 기존의 입사 지원서, 저작권 관련 메일을 통한 방식과 같이 감염 확률이 높은 방식이므로 각별한 주의가 필요하다.

체크멀 관계자는 “기업 또는 개인 사용자에게 발송되는 메일 첨부 파일 또는 링크를 통해 다운로드된 MS Word 문서가 매크로(Macro) 기능 활성화를 요구할 경우에는 절대 허용하지 않도록 주의해야 한다”고 강조했다.

목록

위로