News

체크멀의 모든 소식을 빠르게 전해드립니다.

안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 윈도우 파워셸(Windows PowerShell) 기능으로 유포되는 갠드크랩 랜섬웨어가 확인됐다고 30일 밝혔다.

입사지원서 또는 저작권 관련 위장 메일로 유포되던 갠드크랩 랜섬웨어가 다양한 방식으로 감염을 유발하고 있는데 최근 흔히 접할 수 없는 윈도우 파워셸 기능을 이용해 유포되고 있다.
 


윈도우 파워셸은 명령 프롬프트(Command Prompt)의 확장형으로 다양한 명령어 입력을 통해 기능을 구현할 수 있으며, 기본적으로 윈도우 운영 체제에 내장된 명령어 처리 프로그램이다. 파워셸은 윈도우 관리 도구에 대한 접근이 가능하여 관리자가 현지 및 원격지의 윈도우 시스템 관리 업무를 모두 수행할 수 있다.

이번에 확인된 갠드크랩 랜섬웨어는 외부 서버에 등록된 코드(DLL 모듈)를 받아와 암호화를 실행하고, PC에는 악성 파일 자체가 생성되지 않는 Fileless 방식으로 동작하는 것이 특징이다.

암호화가 진행될 경우 .KRAB 파일 확장명이 추가되며, 사용자가 암호화된 파일을 복구할 수 없도록 복사본을 삭제한다. 암호화가 완료된 후 결제 안내 파일이 생성되고, 링크 접속 및 금전 지불 등의 내용을 설명한다.
 

체크멀 관계자는 “안티랜섬웨어 앱체크는 DLL 모듈을 파워셸 기능으로 실행하는 Fileless 방식 또한 정상적으로 차단하고 일부 훼손된 파일을 자동으로 복구한다”고 말하며
다양한 갠드크랩 랜섬웨어의 공격 방식이 발견되고 있어 의심스러운 메일 첨부파일이나 악성코드 감염에 대해 각별히 주의할 것을 당부했다.

List

위로