갠드크랩 랜섬웨어, '5.0.1 버전'등장...백신 프로그램 무력화 시도

갠드크랩 랜섬웨어, '5.0.1 버전'등장...백신 프로그램 무력화 시도

체크멀(대표 김정훈)은 'wermgr.exe' 시스템 파일을 이용해 파일 암호화하는 갠드크랩 랜섬웨어 v5.0.1 버전을 발견했다고 2일 밝혔다.

갠드크랩 랜섬웨어는 버전 업데이트 후 새로운 파일 확장명과 결제 안내 파일을 사용하는 형태로 수정됐다. wermgr.exe 시스템 파일을 이용한다. 대표 유포 방식은 구글 검색을 통해 소프트웨어 다운로드 파일로 위장한 '.js' 스크립트 파일을 이용한다. 그 외 취약점, 메일 첨부파일을 통한 윈도 파워셸 방식으로도 감염시킨다.

사용자가 인터넷 검색으로 다운로드한 압축 파일 내 .js 스크립트 파일을 실행할 경우 '.exe' 악성 파일을 생성하고 'wermgr.exe' 시스템 파일에 랜섬웨어 기능을 수행하는 코드를 추가한다. 디스크, 네트워크 드라이브에 연결된 문서, 사진 등 파일을 암호화한다. 사용자 PC에 설치한 백신 프로그램 서비스를 중지시키거나 자동 삭제해 보안 기능을 무력화한다.

파일이 암호화되면 서로 다른 '.5~10자리 Random 확장명' 형태로 변경된다. 암호화된 폴더마다 '암호화 확장명-DECRYPT.txt' 결제 안내 파일이 생성된다.

체크멀 관계자는 “해당 랜섬웨어는 취약점을 통한 자동 감염이 아니더라도 사용자가 인터넷 상에서 다운로드한 파일을 직접 실행해 감염된다”면서 “〃인터넷에서 다운로드한 파일 확장명이 .js 스크립트 파일이면 절대 실행하지 않도록 해야 한다”고 말했다.

정영일기자 jung01@etnews.com

위방향 화살표