수산아이앤티(대표 이성권)는 지난 2일 갠드크랩 V4 랜섬웨어가 발견됐다며 주의를 당부했다.
갠드크랩은 감염 PC 주요 파일을 암호화하고 확장자를 변경한 뒤 데이터를 복구하려는 피해자에게 금전을 요구하는 랜섬웨어 악성코드다. 지난해 10월 최초 유포됐고 올해 4월 갠드크랩 V2, 5월 갠드크랩 V3가 등장했다.
수산아이앤티 침해사고대응팀(CERT) 분석에 따르면 갠드크랩 V4는 기존 갠드크랩 V3처럼 '드라이브바이다운로드' 방식으로 유포되고 있다. 이는 이용자가 웹사이트에 접속만 해도 의도치않게 악성코드를 내려받게 되는 형태의 유포방식을 가리킨다.
갠드크랩 V4 감염에 따라 암호화되는 파일 확장자는 '.KRAB'이다. 앞서 등장한 갠드크랩 V3 감염 피해로 암호화되는 파일은 '.CRAB' 확장자를 썼다. 감염피해로 암호화 파일 확장자가 바뀌면서 일반 보안솔루션 시그니처 탐지기술을 우회할 수 있게 됐다는 게 회사측 설명이다.
수산아이앤티 측은 "갠드크랩은 특정 제작자가 존재하지 않고 누구나 제작에 참여하고 서비스화해 유포할 수 있는 서비스형 랜섬웨어라는 점이 특징"이라며 "일반인도 서비스를 통해 랜섬웨어 공격을 쉽게 감행할 수 있어 다양한 변종으로 나타날 수 있다"고 설명했다.
관련기사
- "블록체인으로 보안취약점 선순환 플랫폼 만들겠다"2018.07.05
- 수산INT, 이호스트IDC와 VMI클라우드센터 구축 업무협약2018.07.05
- 수산INT, 신개념 보안 솔루션 'eRed' 출시2018.07.05
- 오픈베이스, 수산INT와 SSL복호화솔루션 총판계약2018.07.05
수산아이앤티는 신종 랜섬웨어 예방을 위해 일반 사용자에게 악성메일, 사이트접속시 주의할 것과 운영체제(OS)의 확장자 숨김 처리 해제 조치를 취할 것을 권고했다. 기업이나 더 강한 보안이 필요한 조직에는 시그니처 탐지 우회에 대비할 수 있는 보안솔루션 도입을 권고했다.
수산아이앤티는 '이레드 하이퍼바이저 시큐리티'가 화이트리스트 기반 실행 제어 기능으로 신종 악성코드 공격을 막고 중요 데이터를 보호할 수 있다고 밝혔다. 갠드크랩 V3와 신형 V4 공격을 막을 수 있는 것으로 확인했다고 강조했다.