랜섬웨어 파일 수신 및 조치 사례

회사에서 아르바이트를 뽑고 있는데 지원률이 하도 낮아 내 블로그에도 모집안내글을 올려놓고, 내 메일주소를 등록해 놓았다.

 

모집분야 3종 중 1종이 아직도 채용 진행중이라 고민하고 있던 차에 메일함 정리차 메일에 접속했는데, 정크메일함에 2개의 지원서가 와 있었다.

 

현재 내 메일은 회사 도메인 메일을 MS Outlook.com에 연동시켜 놓고 쓰고 있다.

업무 특성상 PC를 많이 사용하지 않기에 업무 중 메일 수신이 드물어 스마트폰으로 확인하기 위해 그렇게 조치했다.

 

방금 확인했는데, 3일 전에 들어온 지원서 메일이 2개가 있었다.

그런데 보낸 메일 도메인이 의심스러웠다.

보통은 다음, 네이트, 네이버 등의 웹메일 도메인을 쓰는데, 이건

@tnsflorida.com

@truenorthstrategies.com

이었다.

 

메일 내용에는 본인의 이름과 함께, 지원파일은 개인정보가 담긴 파일이라 비밀번호를 걸어서 압축해 놓았다 한다. 비밀번호는 자기 생일 4자리라고 친절하게 알려주었다.

하나는 .alz, 하나는 .rar

2개의 메일이 모두 내용은 같으나 지원자의 이름이 약간 달랐다.

압축프로그램(반디집6.21)으로 더블클릭하여 내부 파일을 보니 PDF 파일 2개.

PDF파일을 더블클릭하니, 윈도우10 자체에서 차단해 버렸다.

실행파일인데 의심파일이라고 하면서.

PDF가 실행파일이라.... 의심스러운 느낌이 들어 더 이상 열기를 시도하지 않았다.

현재 OS와 보안툴 사양은 이렇다.

윈도우10 Home 64bit RS5(최신으로 업데이트 완료)

V3 365+안랩 안티랜섬웨어(원래 앱체크 프로를 썼는데, BOINC의 데이터파일을 자꾸 과탐지하여 실행을 못하게 하여, 현재는 꺼놓고 위 조합으로 쓰고 있음. 허용파일로 설정했는데도 계속 차단됨. 어차피 라이센스 만료가 5월 중순이다.)

 

<조치1>

그래서 채용사이트를 경유하여 지원해 달라고 회신 메일을 보냈더니,

'box479.bluehost.com이 메시지를 거부하였습니다'라고 반송메일이 왔다.

 

<조치2>

VirusTotal.com에 .alz 파일을 업로드하여 검사 시도.

총 53개 온라인 백신툴 중 9개가 악성코드 또는 랜섬웨어 파일로 감지함.

갠드크랩, 크립토모드가 나왔다는 게 놀라울 따름.

<조치3>

내 블로그의 채용관련 포스팅을 삭제함.

 

즉시 안랩에 신고조치했다.

 

역시 보안은 先방어가 중요하다.

 

* 내용추가1)

  VirusZero S2 사이트의 관리자 조언에 따르면, 첨부파일을 클릭했다는 것 자체가 내 PC로 이미 파일이 유입된 거고,(임시 폴더에 압축이 풀렸을 것으로 추정) 윈도우10 자체에서 기존에 보고된 파일이 아니라서 차단된 것으로 보인다는 의견을 내놓음. 압축파일을 절대 풀지 말라는 조언을 함.

 

* 내용추가2)

  안랩에서 즉시 답변이 옴. 갠드크랩 랜섬웨어로 판명.