최근 새로운 버전의 GandCrab 랜섬웨어가 '지원서 및 정상 유틸리티 프로그램'으로 위장하여 유포되고 있음을 자사에서 확인하였다. 자사가 수집한 GandCrab의 수집경로는 아래 [표1]과 같다. 또한, 기존 v1.0과 달리 별도의 암호화 대상 확장자가 없어 대부분의 파일들이 암호화 됨으로 더 큰 피해가 발생할 수 있다.


수집 경로

지원서 위장

(license.exe)

..\행정업무\프리랜서_계약비용\지원\이영윤\지원서\지원서\license.exe

..\documents\지원서\지원서\license.exe

..\desktop\이영윤\지원서\지원서\license.exe

skype 위장

(skype.exe)

..\pictures\이미지 링크정리\이미지 링크정리\skype.exe

..\documents\이미지 링크정리\이미지 링크정리\skype.exe

kakaotalk 위장

(kakatotalk.exe)

..\documents \이미지 링크정리\이미지 링크정리\kakaotalk.exe

..\desktop\전단지\이미지 링크정리\이미지 링크정리\kakaotalk.exe

[표1] - GandCrab v2.0 수집 경로


위 유포 경로로 보아 GandCrab은 국내에 활발히 유포되고 있으며, 유포 시 압축 파일로 전파되었을 것으로 보인다. 출처가 불 분명한 파일에 대한 실행 시, 사용자 주의가 필요하며 현재까지 확인된 v2.0 배포에 확인된 3가지 이름의 파일은 실행하지 않는 것이 필요하다. 현재 국내발견 GandCrab은 v2.0으로 기존 자사 블로그에 개시(http://asec.ahnlab.com/1091)하였던 버전과 몇가지 차이를 보이는데 그 내용은 아래와 같다.


[확장자 및 랜섬노트명 변경]

기존 버전에서는 정상 파일 암호화 시 확장자가 GDCB로 변경되고 GDCB-DECRYPT.txt 랜섬노트가 생성되었던 반면, v2.0에서는 확장자가 CRAB로 변경되고 랜섬노트 명은 CRAB-DECRYPT.txt로 변경되었다.


[그림1] - 변경 된 확장자 및 랜섬노트 명


[C&C 도메인 변경]

GandCrab은 감염 PCIP정보, 사용자 이름, OS 버전, 유저 그룹 정보 등을 C&C로 전송하는데 이 주소가 아래와 같이 변경되었다.

C&C 도메인

politiaromana.bit

malwarehunterteam.bit

gdcb.bit

[표2] - 변경 된 C&C 도메인


[암호화 제외 경로 및 파일명 변경, 암호화 대상 확장자 변경]

특정 경로와 특정 파일명에 해당하는 파일은 암호화에서 제외하는데 v2.0에서는 이때 확인하는 경로 몇 가지가 제외되고 몇 가지가 추가(빨간색 처리)되었다. 또한 제외 파일명은 랜섬노트를 제외하고는 동일하다.

암호화 제외 경로

암호화 제외 파일명

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

autorun.inf

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

[표3] - 기존 버전과 차이를 보이는 암호화 제외 경로 및 파일명


특히, 이전 버전의 GandCrab의 경우 특정 확장자 456개를 암호화 대상으로 하였으나, 이번 v2.0에서는 아래 확장자를 제외한 모든 파일을 암호화 한다.


암호화 제외 확장자 (42)

.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[표4] - 암호화 제외 확장자


[랜섬노트 내용 변경]

GandCrab의 버전이 변경되었다는 것을 제작자가 랜섬노트에 아래와 같이 직접 명시하였다.

[그림2] - v2.0가 명시된 새 버전 GandCarb 랜섬노트


그 외의 몇 가지 기능은 여전히 존재한다

자기 파일을 랜덤 파일명으로 복사한 뒤 Run키 등록하여 시스템에서 지속 실행 될 수 있도록 하며, 현재 동작 프로세스를 확인하여 특정 프로세스가 실행 중일 때 GandCarb 프로세스를 종료하는데 이 확인 프로세스 리스트는 기존과 변화없다. 또한 확인하는 AntiVirus 관련 프로세스 목록 또한 동일하다. 이 리스트는 위에 명시 된 기존 GandCrab 게시글에서 확인 가능하다.


GandCrab 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.


또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.

현재 V3에서는 GandCrab v2.0 랜섬웨어를 다음 진단명으로 진단 하고 있다.

- 파일 진단 : Trojan/Win32.RansomCrypt (2018.03.19.02)
- 행위 진단 : Malware/MDP.Ransom.M1171




Posted by 분석팀