[아이뉴스24 김국배 기자] 지난해 악명을 떨친 갠드크랩 랜섬웨어가 공격기법을 강화했다. 웹사이트에 접속하는 것만으로 감염되는 새로운 랜섬웨어도 나타났다. 모두 국내 사용자를 노린 것으로 보여 주의가 요구된다.
13일 안랩에 따르면 최근 컴퓨터 백신 프로그램을 소용없게 만드는 갠드크랩 랜섬웨어 변종이 또 다시 발견됐다.
과거에는 악성행위를 수행하기 전 '언인스톨(Uninst.exe)' 파일을 실행해 백신 프로그램 삭제를 시도했다면 이번에는 백신이 동작하는데 필요한 서비스 프로그램을 종료시킨다.
안랩이 'V3' 백신 언인스톨 관련 기능에 캡차 코드를 적용하면서 삭제가 어려워지자 새로운 방법을 택한 것으로 보인다.
특히 이번 갠드크랩 랜섬웨어 변종은 V3 라이트(Lite)뿐만 아니라 다른 국내 유명 백신까지 표적으로 삼고 있어 국내 사용자들의 피해가 우려된다.
둘 중 하나에 해당하는 백신이 PC에서 실행될 경우 'Sleep()함수'를 이용해 15분간 동작을 지연시킨다. 또한 다른 백신에서는 랜섬웨어를 유인하는 미끼인 디코이 폴더를 우회하도록 시도한다.
동작 방식도 바뀌었다. 이전에는 .JS 자바 스크립트 파일을 통해 갠드크랩의 실행파일을 생성하는 방식이었다면 최근 변종은 파워셸(PowerShell)을 이용해 파일리스(Fileless) 방식으로 동작한다. 감염 후 암호화 작업 역시 파워셸로 실행된다.
![갠드크랩 변종 감염 과정 [자료=안랩]](https://img-lb.inews24.com/image_joy/201901/1547339329280_1_092910.jpg)
더불어 지난해 4분기에는 '멀버타이징 기법'으로 유포된 새로운 선 락커(SeonLocker) 랜섬웨어가 발견됐다. 멀버타이징은 온라인 광고를 통해 악성코드를 전파하는 방식으로 단시간에 다수의 사용자를 감염시킬 수 있어 파급 효과가 크다.
게다가 이번에 발견된 선 락커 랜섬웨어는 국내 언론사 사이트의 제휴 광고에서 발견된 점으로 미뤄 국내 사용자를 타깃으로 삼은 것으로 추정된다. 또한 '드라이브 바이 다운로드' 기법을 사용해 감염사실을 쉽게 인지하지 못하도록 한 것이 특징이다.
안랩 관계자는 "선 락커 랜섬웨어는 국내 웹 사이트를 주요 공격 대상으로 삼고 있다"며 "사용자가 모르는 사이 웹 사이트 접속만으로도 랜섬웨어에 감염될 수 있어 각별한 주의가 필요하다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기