한글로 작성된 메일을 통해 저작권, 기관 사칭, 이력서 등의 다양한 소재로 첨부된 압축 파일을 실행하도록 유도하는 GandCrab 랜섬웨어(Ransomware) 유포 방식은 예전부터 지속적으로 발견되고 있습니다.
특히 매우 긴 공란(Blank) 처리된 이중 파일 확장명을 사용하여 문서 또는 사진 파일로 착각하여 실행하도록 하는 방식이 있었습니다.
그런데 알집(ALZip) 압축 프로그램에서 제공하는 압축 포맷(.alz, .egg)을 사용하는 경향이 강한 이유 중의 하나가 다음과 같은 점을 이용하였기 때문입니다.
알집 압축 프로그램을 통해 GandCrab 랜섬웨어가 포함된 .alz 압축 파일을 확인해보면 마치 문서 파일(.pdf)처럼 확장명이 보이며, 최종 파일 확장명(.exe)이 제대로 표시되지 않아서 실제로는 응용 프로그램이지만 문서 파일로 착각할 수 있었습니다.
실제로 압축 해제된 파일을 확인해보면 PDF 문서 파일 아이콘 모양을 하고 있지만, 파일 속성으로 확인해보면 "사용중_이미지_190424.pdf <긴 공란(Blank)> .exe" 실행 파일임을 알 수 있습니다.
GandCrab 랜섬웨어는 이런 점을 악용하여 그동안 파일명 조작 및 이중 파일 확장명을 사용하는 방식으로 꾸준하게 유포 활동을 진행하였는데, 최근 알집(ALZip) 10.89 버전 업데이트를 통해 "파일명의 공백이 길 때 말줄임표 처리 추가" 패치를 통해 다음과 같이 개선을 하였습니다.
업데이트된 알집 압축 프로그램에서는 첫 번째 파일 확장명(.pdf) 이후 긴 공란이 존재할 경우 생략하고 최종 파일 확장명(.exe)을 화면 상에 바로 보여줘서 문서 파일이 아닌 응용 프로그램임을 쉽게 확인할 수 있도록 하였습니다.
물론 이런 방식으로 변경되어도 파일 확장명에 대한 약간의 지식이 없는 경우에는 무조건 실행하여 랜섬웨어 피해를 당하는 경우도 많거나 또는 알집 압축 프로그램을 사용하면서 최신 업데이트를 하지 않고 구버전을 지속적으로 사용하는 사용자도 있을 것입니다.
하지만 압축 프로그램을 통해 압축 파일 내의 파일을 실행할 때에는 최종 파일 확장명이 무엇인지 또는 파일 유형(종류)이 무엇인지를 잘 확인하는 습관을 가지시기 바랍니다.
마지막으로 4월 24일 알집 압축 프로그램 업데이트 직후부터 GandCrab 랜섬웨어의 이중 파일 확장명 사용을 통한 유포 활동이 보이지 않고 있는데, 차후에는 문서 파일의 매크로(Macro) 기능 사용을 유도하는 방식이나 또 다른 트릭(Trick)을 통해 랜섬웨어 악성 파일을 실행하도록 변화를 줄 수도 있으므로 항상 메일 첨부 파일은 주의하여 실행 여부를 결정하시기 바랍니다.
업데이트 : 알집(ALZip) 9.53 - 유니코드 확장명 조작 파일 방어 기능 추가
(주)이스트소프트(ESTsoft) 업체에서 제공하는 알집(ALZip) 압축 프로그램이 알집(ALZip) 9.53 버전 업데이트를 통해 "U+202E 유니코드 확장명 조작 공격 방어" 기능이 추가되었습니다. 이번 업데이트에서 추가된..
hummingbird.tistory.com
업데이트 : 알집(ALZip) 10.82 - 악성(의심) ALZ, EGG 압축 파일 경고 팝업 추가 (2018.9.13)
(주)이스트소프트(ESTsoft) 업체에서 제공하는 알집(ALZip) 압축 프로그램이 알집 10.82 버전 업데이트를 통해 .alz, .egg 압축 파일에 포함된 악성(의심) 파일에 대한 경고 팝업 기능이 추가되었습니다. 알집 10..
hummingbird.tistory.com