2018년 7월 9일 보안업체 Fortinet은 자사 블로그를 통해 GandCrab v4.0에 대한 암호화 차단방법을 공유하였다. 안랩 ASEC은 해당 방식이 최근 국내에서 유포되고 있는 GandCrab v4.1 및 v4.1.1 버전에서도 유효함을 확인하였으며, 이러한 정보를 바탕으로 암호화 방지툴을 제공하여 국내 사용자 피해를 사전에 차단하고자 한다.


- [참고] https://www.fortinet.com/blog/threat-research/gandcrab-v4-0-analysis--new-shell--same-old-menace.html


GandCrab v4.x 랜섬웨어는 네트워크 공유폴더의 파일들도 암호화함으로 이전 버전에 비해 더 큰 피해가 우려된다. Fortinet 블로그에 언급된 암호화 차단방식은 "Common AppData" 폴더에 특별한 규칙을 갖는 8자리 이름의 *.lock 파일이 존재할 경우, 랜섬웨어가 종료하는 코드를 역으로 이용한 것이다.


암호화를 사전에 차단하기 위한 *.lock 파일의 위치 및 파일명 생성규칙은 다음과 같다.

  • 폴더: CSIDL_COMMON_APPDATA
    • Win XP: C:\Documents and Settings\All Users\Application Data
    • Win 7, 8, 10: C:\ProgramData
  • 파일: 426BD648.lock (예제)
    • 파일명은 루트 드라이브의 볼륨정보를 바탕으로 생성되어 사용자마다 다를 수 있음.
  • 툴 사용방법
    • 첨부한 실행파일을 다운로드 받은 후, 오른쪽 마우스 클릭하여 '관리자 권한으로 실행'
    • 아래와 같이 해당 폴더(Common AppData)에 *.lock 파일이 생성됨을 확인

[그림-1] Win7 환경에서 파일 생성위치


아래의 그림은 GandCrab v4.x에서 lock 파일명을 생성하는 방식에 대한 코드로 이 정보를 통해 툴이 제작되었다.



[그림-2] *.lock 파일명 생성코드


GandCrab v4.x에서 암호화 제외 파일명은 다음과 같다.


desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, KRAB-DECRYPT.html, KRAB-DECRYPT.txt, CRAB-DECRYPT.txt, ntldr, NTDETECT.COM, Bootfont.bin


GandCrab v4.x에서 암호화 제외 폴더명은 다음과 같다.


\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\


GandCrab v4.x에서 암호화 제외 확장자는 다음과 같다.


 .ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures


V3제품에서는 현재 유포되는 GandCrab v4.x 유형에 대해 아래와 같이 진단하고 있다.

- 행위진단: Malware/MDP.Ransom
- 파일진단: Trojan/Win32.Gandcrab (2018.07.05.03)


Posted by 분석팀