악성 이메일로 이용자 속여
감염시 자체 복구 어려워
“정품 소프트웨어 권장해”
[천지일보=김정필 기자] 잠시 주춤했던 갠드크랩(GandCrab)이 변종 형태를 띄고 4월부터 다시 기승을 부리고 있다.
10일 보안업계에 따르면 올해 초 등장한 갠드크랩 랜섬웨어가 최근에는 입사지원 메일로 탈바꿈해 채용사이트에 채용공고를 올린 기업의 인사 담당자에게 집중적으로 발송되고 있다. 또한 교통법칙금 이메일로 위장한 사례도 발견됐다. 일단 감염되면 자체 복구가 어려운 만큼 이용자의 주의가 요구된다.
안랩(AhnLab)은 “매그니베르 랜섬웨어가 올 1분기까지 국내에 많은 피해를 입혔다가 지난달 25일 소강상태로 접어들었다”면서 “올 4월 초부터는 갠드크랩 랜섬웨어가 기승을 부리고 있다”고 밝혔다. 이어 “갠드크랩은 케르베르나 매그니베르 랜섬웨어와는 달리 더욱 교묘하게 유포 경로 추적을 어렵게 하거나 실행을 감춘다”고 덧붙였다.
이 악성 스팸 메일은 경력직 채용공고를 보고 지원했다는 내용을 담고 있다. 메일에 첨부된 파일은 ‘.egg’ 형태의 압축 파일로 파일 내부에는 그림·문서·실행 파일이 포함돼 있다.
압축 파일 내부의 실행 파일은 숨김 파일로 설정돼 있다. 때문에 숨김 파일, 폴더 및 드라이브를 표시하도록 설정해 놓지 않은 사용자는 실행 파일이 포함돼 있는 것을 알 수 없다. 사용자가 해당 파일을 실행하면 악성코드가 설치돼 일부 확장자를 제외하고 PC 내 거의 모든 파일을 암호화 한다. 암호화한 파일 뒤에는 갠드크랩 랜섬웨어 고유의 ‘.CRAB’ 확장자명이 추가된다.
해커들은 파일 복구 대가로 가상화폐 대시(DASH)나 비트코인(BITCOIN)을 요구했다. 파일 복구비는 750 달러(약 80만원)에서 2000 달러(약 215만원)까지 다양하게 요구하고 2~5일이 지나면 요구 비용이 2배로 늘어나도록 타이머를 작동시켜서 피해자가 심리적으로 압박을 느끼도록 하는 방법을 사용하기도 한다.
안랩(Ahnlab)에 따르면 2018년 1분기 랜섬웨어 샘플 수는 22만 6580건이고 그 중 매그니베르(Magniber)가 62%로 1위를 차지했다. 이어 갠드크랩(16%), 랜섬크립트(Ransomcrypt, 9%)가 뒤를 이었다.
보안업계 한 관계자는 “갠드크랩을 예방하기 위해서는 윈도우나 기타 소프트웨어를 정품으로 사용하고 확인되지 않은 확장자를 갖고 있는 파일을 다운 받거나 열지 말아야 한다”며 “특히 이메일에서 첨부파일을 볼 때 압축 파일이 있으면 함부로 열어보지 않는 것이 좋다”고 조언했다. 이어 “불법 사이트, 도박, 음란 사이트도 주의하고 보안프로그램을 설치하는 것을 권장한다”고 덧붙였다.