실시간 뉴스



갠드크랩 랜섬웨어, 윈도 파워셸로 전파


외부 서버 등록 코드 받아 암호화·파일리스 방식

[아이뉴스24 성지은 기자] 갠드그랩 랜섬웨어가 윈도 파워셸(Windows PowerShell) 기능으로 전파되는 등 감염 방식을 다변화하고 있다.

안티 랜섬웨어 전문 기업 체크멀(대표 김정훈)은 입사지원서, 저작권 관련 위장 메일로 유포되던 갠드크랩 랜섬웨어가 유포 방식을 바꿔 흔히 접할 수 없는 윈도 파워셸 기능으로 유포되고 있다고 30일 경고했다.

윈도 파워셸은 윈도 운영체제(OS)에 내장된 명령어 처리 프로그램이다. 명령 프롬프트의 확장형으로, 윈도 관리 도구에 대한 접근이 가능해 관리자가 현지 또는 원격지의 윈도 시스템 관리 업무를 모두 수행할 수 있다.

이번에 확인된 갠드크랩 랜섬웨어는 외부 서버에 등록된 코드(DLL 모듈)를 받아와 암호화를 실행하고, PC에는 악성파일 자체가 생성되지 않는 파일리스(Fileless) 방식으로 동작하는 특징을 지녔다.

암호화가 진행될 경우 새로운 확장자(.KRAB) 파일이 추가되며 사용자가 암호화된 파일을 복구할 수 없도록 복사본을 삭제한다. 암호화가 완료된 후엔 결제 안내 파일이 생성되고 링크 접속, 금전 지불 등의 내용을 설명한다.

체크멀 관계자는 "다양한 갠드크랩 랜섬웨어의 공격 방식이 발견되고 있다"며 "의심스러운 메일 첨부파일은 열어보지 않는 등 악성코드 감염에 각별히 주의해야 한다"고 당부했다.

성지은기자 buildcastle@inews24.com






alert

댓글 쓰기 제목 갠드크랩 랜섬웨어, 윈도 파워셸로 전파

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스