GPcode 랜섬웨어가 피해자들을 고립시키는 이슈

 

GPcode 랜섬웨어는 일반적으로 이메일 첨부 파일이나 소셜 엔지니어링 기술(예: 멀웨어를 합법적인 소프트웨어 업데이트로 위장함)을 통해 확산됩니다. 멀웨어가 피해자의 컴퓨터에서 실행되면 RSA-1024 및 AES-256과 같은 강력한 암호화 알고리즘을 사용하여 파일을 암호화하므로 암호 해독 키가 없으면 파일을 해독할 수 없습니다. GPcode는 2005년부터 활성화되어 "20달러 랜섬웨어"라는 별명을 얻었습니다. 이것은 랜섬웨어의 첫 번째 사례 중 하나로 간주되며 오늘날에도 여전히 목격되고 있습니다. 그러나 GPcode 공격자는 몸값이 지불된 후 암호 해독 키를 제공한 기록이 없으며, 이 경우 암호 해독 키를 받을 수 없습니다.

 

감염주기 :

GPcode 랜섬웨어에 감염되면 시스템의 파일이 암호화되며, 각 암호화된 파일에는 " .ENCODED " 파일 확장자가 부여되고, 바탕 화면 배경에 다음 이미지가 표시됩니다.

 

 

 

메모장을 사용하면 다음과 같은 메시지가 표시됩니다.

 

 

 

런타임 중, 악성코드는 ntfs_system.bat를 작성하고 실행합니다.

 

 

 

ntfs_system.bat 파일에는 다음 스크립트가 포함되어 있습니다. 이는 원본 멀웨어 파일을 삭제하는 데 사용됩니다.

 

 

 

악성코드는 피해자 PC에 랜섬노트 파일을 작성하는 것을 볼 수 있습니다.

 

 

 

GPcode 랜섬웨어에 감염되면 몸값을 지불하더라도, 암호 해독키를 받은 사례가 없어 특별한 주의가 필요합니다.

랜섬웨어 감염 방지를 위해 사용자는 발신인이 부정확한 메일 확인을 지양하고, 의심스러운 첨부파일은 바로 삭제하여 데이터를 보호해야 합니다.