News
체크멀의 모든 소식을 빠르게 전해드립니다.
안티랜섬웨어 전문 기업 체크멀(대표 김정훈)은 시스템 파일 패치를 통한 갠드크랩 랜섬웨어가 탐지됐다고 28일 밝혔다.
갠드크랩 랜섬웨어는 올해 인터넷 사용자들에게 가장 큰 피해를 끼친 랜섬웨어 중 하나로, 최근에는 rundll32.exe 시스템 파일을 악성 파일로 변경하여 직접 파일 암호화를 진행한 사례가 발견되었다.
rundll32.exe 시스템 파일을 악성 파일로 변경한 후 자동으로 시스템을 강제 종료하고 윈도우 시작 시 자동 실행되도록 시작 프로그램에 등록한다. 변경된 rundll32.exe 악성 파일은 러시아에 위치한 특정 IP 서버와 통신을 시도하며, 정상적으로 통신에 성공하면 추가적으로 악성 파일을 다운로드 할 수 있다. 서버의 과거 정보 조회 결과 랜섬웨어 뿐만 아니라 다른 종류의 악성코드 다운로드 행위 또한 확인된다. rundll32.exe 파일은 악성코드를 다운로드 하는 역할을 하는 것으로 추측할 수 있다.
Windows 7 운영 체제 환경에서는 작업 관리자에서 실행 중인 rundll32.exe 악성 파일을 종료한 후 "C:\ProgramData\rundll32.exe" 시스템 파일을 복사하여 붙여넣기 하는 방식으로 악성 파일을 정상 파일로 복구할 수 있다.
체크멀 관계자는 중요 시스템 파일이 악성코드로 변경되는 감염 행위가 발생한 경우, 랜섬웨어와 다양한 악성코드 감염이 추가적으로 발생할 수 있으므로 더욱 각별히 주의할 것을 당부하며 “안전하게 시스템을 보호하기 위해 안티랜섬웨어 전용 솔루션 앱체크를 설치하시기 바란다”고 말했다.