[바이러스주의!!]한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의!

안녕하세요 안드로이드게임 해커 여러분의 지갑지킴이 코드몽키입니다

버그판 만드는법을 배우고싶으신분은 수강생들 작품보기 카테고리를 확인하시고

카톡ID : codemod 로 연락주세요

다른 수강생들 작품 보러가기 링크

https://page/수강생작품들

※게임이 업데이트 되면 제 블로그에도 업데이트 된 최신 파일이 올라갑니다!

코드몽키 홈페이지는 '크롬브라우저에 다운로드 최적화되어있습니다.

주변에 아직도 몽키치트닷컴을 모르는 흑우친구들이 있다면 이 성지를 소개해주세요☆

https://discord.gg/B5uHRd5
몽키치트 디스코드 입장 링크입니다


본 웹사이트는 광고를 포함하고 있습니다.

광고 클릭에서 발생하는 수익금은 모두 웹사이트 유지 및 관리,

그리고 기술 콘텐츠 향상을 위해 쓰여집니다.


국뽕 코드몽키 블로그 3원칙.

1. 국내게임은 올리지않는다.

2. 국내게임을 발견하면 지운다.

3. 해외 게임은 OK. 국내 게임은 NO.

[바이러스주의!!]한국은행을 위장하여 유포되고 있는 갠드크랩 랜섬웨어 주의!

2019년 02월 20일 경부터 포착되기 시작한 새로운 갠드크랩 한국 유포조직(특징:어눌한 한국어 표현 사용)이 국내 사용자들을 대상으로 지속적인 랜섬웨어 공격을 진행하고 있습니다.

최근 ‘경찰청 소환장’, ‘지마켓 할인쿠폰’, ‘헌법 재판소 소환장’ 등을 통해 랜섬웨어를 한국에 집중 유포하고 있습니다. 이들 조직은 기존 ‘[비너스락커] 랜섬웨어 유포 조직’과는 확연히 구분되고 있는 상태입니다.

낚이지마세요!! 이런거 낚이면 기분 더럽잖아요! 주의 또주의!! 특히 어르신들이 낚이죠

2019년 02월 27일 헌법재판소 사칭 관련 내용도 수정된 버전이 유포되고 있는데, 이메일 제목에 헌법재판소 마지막 경고‘ 표현을 담고 있기도 합니다.

[그림 1] 헌법 재판소 사칭한 최신 공격 이메일 화면

젊은이들은 보면 딱! 어? 조선족냄새가 나는데??

혹은 구글번역기 냄새가 나는데??

할수있지만 어르신들은 분간못하는경우가 생긴다는게 함정!!

이런 가운데 2019년 2월 27일 추가로 발견된 악성 이메일은 한국은행을 사칭하고 있으며, 기존 악성 이메일들과 동일하게 갠드크랩 랜섬웨어가 첨부된 압축 파일을 포함하고 있습니다. 

[그림 2] 한국은행을 사칭한 악성 이메일

이번 악성 이메일도 역시 개인 사용자 보다는 국내 중소형 기업의 임직원들을 타겟으로 유포되었습니다. 

실제 한국은행 CI를 사용하여 사용자들을 속이려고 노력하였지만, 기존 메일들 처럼 어색한 한글로 작성되어 있습니다. 

당신을 환영 한국은행

로그인하는 것은 불가능합니다! 한도를 초과하의 로그인을 시도는 시스템입니다. 한 시도는 차단을 위한 무기한다.

로그인 온라인 은행업무는 차단으로 인해 무단으로 로그인을 시도합니다.

을 복원하기 위해 귀하의 계정에 액세스해야 합 문서를 읽을 우리는 첨부하는 이 편지입니다.그것은 당신이 정확하게 왜 귀하의 계정을 차단되었고 그것이 어떻게 복원할 수 있습니다.

우리는 매우 미리 차단하는 귀하의 계정!우리는 우리의 안전에 대한 우려는 우리의 고객입니다.또한 특이하게 일반적인 이메일 계정 형식인 xxx@xxx.com 이 아닌 xxx.xxx의 형태를 사용하였습니다. 
분석 결과, 코드 상에는 koreasecurity.top@koreasecurity.top 형태로 작성되어 있지만, 이메일 발신자 주소가 보여지는 부분에서 공격자가 임의로 설정을 바꿔 koreasecurity.top 부분만 보이는 것으로 확인되었습니다. 

[그림 3] 악성 이메일 발신 도메인 정보

이번 이메일의 발신지는 러시아로 확인되었는데, 공격 패턴에 따라 네덜란드, 미국 등 다른 국가도 목격되고 있습니다.

[그림 4] 악성 첨부파일

압축 파일 안에는 pdf 파일을 위장한 exe 파일이 포함되어 있고, 표현이 부자연스러운 악성파일이 존재합니다.

– 의 원인에 문제가 당신의 계정.pdf.exe

– 지침에 대한 계정을 복구.pdf.exe

만약 사용자가 첨부되어있는 exe 파일을 pdf 파일로 간주, 실행한다면 갠드크랩 5.2에 감염되게 됩니다. 

[그림 5] 갠드크랩 v5.2 랜섬웨어

해당 조직은 shanghaipolice.top, policeshanghai.top 등 koreasecurity.top과 유사한 도메인으로 이미 국내에 갠드크랩 랜섬웨어가 포함된 악성 이메일을 유포한 적이 있습니다. 

최근 대량의 악성 이메일을 통해 갠드크랩을 유포하고 있는 조직은, 기존 국내에 갠드크랩을 유포하던 비너스락커 조직과는 다른 특징을 보이고 있어, 이스트시큐리티에서는 최근 공격의 배후가 새로운 공격 조직일 것으로 추정하고 있습니다. 

현재 알약에서는 해당 악성코드에 대해  Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 

본 포스팅은 이스트시큐리티 알약 블로그로부터 게시글 스크랩 허가를 받은 포스팅입니다.

랜섬웨어 주의하세요! 말로만 듣던 랜섬웨어! 실제로 걸려보니 기분 더럽습니다.

답이없어요 그냥 포멧이 제일 깔끔하더라구요.

아쉬운 마음에 파일 몇개 살려보겠다고 까불거리다 엄한다른PC까지 바보만듭니다.

예방과 주의가 가장 중요합니다.

체감상 알약을쓰면 PC가 느려지는 ㅈ같은현상이 발생하긴하는데

고사양 고가의 PC를 사용하는분들이라면 체감도안나니 그냥 알약쓰시는게 좋을듯합니다.

그나마 국내에선 랜섬에 지속적인 관심을가지고 꾸준히 업데이트 자료를 제공하는건 알약뿐인거같아요

다운로드문제, 패키지파싱문제, 실행안됨 문제는 공지사항에 해결법있습니다.

업데이트 요청은 리플로 남겨주시면 됩니다

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here