"저작권 침해했어요"…항의 메일 위장 랜섬웨어 주의

[아이뉴스24 성지은 기자] 디자이너를 사칭해 이미지 저작권 문제로 항의하고 이메일 첨부파일을 열어보도록 현혹한 뒤 랜섬웨어에 감염시키는 피해가 등장해 사용자 주의가 요구된다.

이스트시큐리티는 한국 맞춤형 랜섬웨어를 유포했던 조직이 '갠드크랩(GandCrab) v2.0' 랜섬웨어를 이메일 첨부파일 형태로 유포하고 있는 정황이 발견됐다고 27일 발표했다.

공격자들은 실제 디자이너의 이름과 프로필 사진이 있는 이메일을 이용하며, 수신자가 자신의 디자인을 무단 도용해 저작권 침해를 입었다며 첨부된 축 파일을 열어보도록 유도한다.

첨부된 압축 파일을 열어보면 '원본이미지.jpg', '사용이미지.jpg', '사이트 링크정리.doc'라는 이름의 파일이 보여 사용자가 별다른 의심 없이 파일을 실행시키도록 현혹한다.

그러나 실제 이 파일은 이미지나 MS 워드 문서가 아닌 이중 확장자로 숨겨진 바로가기(.lnk) 파일이다. 사용자가 의심 없이 해당 파일을 실행하면 함께 첨부된 랜섬웨어 파일인 'this.exe'가 자동 실행되고 PC 내 주요 파일이 암호화된다.

갠드크랩 랜섬웨어 v1.0버전은 파일 암호해제 대가로 비트코인이 아닌 암호화폐 '대시(DSH)'를 지불하도록 요구하는 랜섬웨어로, 계속해 변종이 등장하고 있는 상황이다.

이스트시큐리티 시큐리티대응센터에 따르면, 한국에 유포되고 있는 갠드크랩 랜섬웨어에 감염될 경우 한글문서(HWP) 등을 포함해 다양한 데이터들이 암호화된다.

암호화된 파일들은 기존 확장자에 '.CRAB' 확장명이 추가되며, 사용자 PC의 다양한 경로에 'CRAB-DECRYPT.txt' 랜섬노트 파일을 생성한다.이후 토르(Tor) 브라우저를 통해 파일 암호해제 대가로 대시를 지불하도록 요구한다.

현재 공격자는 암호해제 대가로 약 1.53DSH를 요구한다. 27일 한국 암호화폐 시세 기준 1DSH는 약 43만원 선에서 거래가 이뤄지고 있다. 이를 감안하면, 약 65만원 이상의 몸값을 지불하도록 요구하는 셈.

이스트시큐리티 시큐리티대응센터에 따르면, 공격자가 사용하는 바로가기 파일을 이용한 감염기법은 지난 2016년부터 발견된 비너스락커 랜섬웨어와 동일한 코드로 제작됐다. 또 이메일 문장에 대체로 마침표를 사용하지 않는 해당 조직의 소행으로 추정되는 유사점도 발견됐다.

문종현 이스트시큐리티 시큐리티대응센터 이사는 "현재 추정되는 갠드크랩 랜섬웨어 공격자는 2016년 비너스락커 랜섬웨어 유포를 시작으로, 한국을 주요 공격 대상으로 삼고 1년 넘게 활동하고 있다"며 "각종 랜섬웨어와 암호화폐 마이너 등의 악성코드를 집중 유포하고 있다"고 설명했다.

이어 "유창한 한글로 작성됐고 본인의 업무나 직업 등 유관한 내용을 담고 있는 이메일을 수신할 경우에도 주의가 필요하다"며 "첨부파일을 열기 전 이미지나 문서파일로 위장한 바로가기 유형의 이중 확장명을 가지고 있는 것은 아닌지 반드시 확인해야 한다"고 강조했다.