최근 이메일, 피싱 사이트를 통해 새로운 랜섬웨어가 유포되고 있다.

일명 '블루크랩(BlueCrab)'으로 불리는 이 랜섬웨어가 국내 사용자를 노리고 있는 정황이 확인되어 더욱 각별한 주의가 요구된다.

이번에 확인된 블루크랩 랜섬웨어는 갠드크랩 랜섬웨어처럼 다양한 방식으로 유포되고 있다.

주로 악성 문서 파일이 첨부된 피싱 이메일이나 유틸리티 다운로드 페이지로 위장한 피싱 사이트 등을 이용하고 있다.

안랩의 시큐리티대응센터(ASEC)의 분석 결과, 피싱 사이트를 통해 다운로드한 유틸리티 프로그램의 자바스크립트 파일(.js)이 실행되면 블루크랩 랜섬웨어가 동작한다.

이때 윈도우 운영체제의 사용자 계정 컨트롤(User Account Control, UAC) 기능을 우회해 랜섬웨어가 동작할 때 사용자에게 알림창이 나타나지 않도록 한다.

여기에서 주목할 점은 사용자 PC에 V3 Lite가 설치되어 있으면 실행 방식을 바꾼다는 것이다.

이는 V3 Lite가 행위 기반 탐지 기법으로 UAC를 이용한 공격 방식을 차단하고 있기 때문이다.

이에 공격자는 V3 Lite가 설치된 PC의 경우 [그림 1]과 같은 UAC 알림창을 무려 100번이나 반복 노출해 당황한 사용자가 '예'를 클릭하도록 유도함으로써 랜섬웨어를 실행한다.

V3 제품군에서는 이런 방식을 이용하는 블루크랩 랜섬웨어를 행위 기반 기술로 탐지하여 [그림 2]와 같은 알림창을 제공한다.

또한 V3 제품군에서는 블루크랩 랜섬웨어를 유포하는 스크립트를 아래와 같은 진단명으로 탐지한다.

<V3 제품군 진단명>

- JS/Gandcrab.S10 (2019.05.10.00)

- Malware/MDP.Behavior.M1997

- Malware/MDP.Behavior.M2084

- Malware/MDP.Behavior.M2194