뉴스/보도자료

체크멀 보안 솔루션의 새로운 소식을 다양한 보도 매체를 통해 제공하고 있습니다.

시스템 파일을 악성 파일로 변경하는 갠드크랩 랜섬웨어

안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 시스템 파일 패치를 통한 갠드크랩 랜섬웨어가 탐지됐다고 28일 밝혔다.

갠드크랩 랜섬웨어는 올해 인터넷 사용자들에게 가장 큰 피해를 끼친 랜섬웨어 중 하나로, 최근에는 rundll32.exe 시스템 파일을 악성 파일로 변경하여 직접 파일 암호화를 진행한 사례가 발견되었다.
 


rundll32.exe 시스템 파일을 악성 파일로 변경한 후 자동으로 시스템을 강제 종료하고 윈도우 시작 시 자동 실행되도록 시작 프로그램에 등록한다. 변경된 rundll32.exe 악성 파일은 러시아에 위치한 특정 IP 서버와 통신을 시도하며, 정상적으로 통신에 성공하면 추가적으로 악성 파일을 다운로드 할 수 있다. 서버의 과거 정보 조회 결과 랜섬웨어 뿐만 아니라 다른 종류의 악성코드 다운로드 행위 또한 확인된다. rundll32.exe 파일은 악성코드를 다운로드 하는 역할을 하는 것으로 추측할 수 있다.

Windows 7 운영 체제 환경에서는 작업 관리자에서 실행 중인 rundll32.exe 악성 파일을 종료한 후 "C:\ProgramData\rundll32.exe" 시스템 파일을 복사하여 붙여넣기 하는 방식으로 악성 파일을 정상 파일로 복구할 수 있다.

 

체크멀 관계자는 중요 시스템 파일이 악성코드로 변경되는 감염 행위가 발생한 경우, 랜섬웨어와 다양한 악성코드 감염이 추가적으로 발생할 수 있으므로 더욱 각별히 주의할 것을 당부하며 ​“안전하게 시스템을 보호하기 위해 안티랜섬웨어 전용 솔루션 앱체크를 설치하시기 바란다”고 말했다.

목록

위로