최근 새로운 버전의 GandCrab 랜섬웨어가 '지원서 및 정상 유틸리티 프로그램'으로 위장하여 유포되고 있음을 자사에서 확인하였다. 자사가 수집한 GandCrab의 수집경로는 아래 [표1]과 같다. 또한, 기존 v1.0과 달리 별도의 암호화 대상 확장자가 없어 대부분의 파일들이 암호화 됨으로 더 큰 피해가 발생할 수 있다.
|
수집 경로 |
|
|
지원서 위장 (license.exe)
|
..행정업무프리랜서_계약비용지원이영윤지원서지원서license.exe ..documents지원서지원서license.exe ..desktop이영윤지원서지원서license.exe |
|
skype 위장 (skype.exe)
|
..pictures이미지 링크정리이미지 링크정리skype.exe ..documents이미지 링크정리이미지 링크정리skype.exe |
|
kakaotalk 위장 (kakatotalk.exe)
|
..documents 이미지 링크정리이미지 링크정리kakaotalk.exe ..desktop전단지이미지 링크정리이미지 링크정리kakaotalk.exe |
[표1] – GandCrab v2.0 수집 경로
위 유포 경로로 보아 GandCrab은 국내에 활발히 유포되고 있으며, 유포 시 압축 파일로 전파되었을 것으로 보인다. 출처가 불 분명한 파일에 대한 실행 시, 사용자 주의가 필요하며 현재까지 확인된 v2.0 배포에 확인된 3가지 이름의 파일은 실행하지 않는 것이 필요하다. 현재 국내발견 GandCrab은 v2.0으로 기존 자사 블로그에 개시(http://asec.ahnlab.com/1091)하였던 버전과 몇가지 차이를 보이는데 그 내용은 아래와 같다.
[확장자 및 랜섬노트명 변경]
기존 버전에서는 정상 파일 암호화 시 확장자가 GDCB로 변경되고 GDCB-DECRYPT.txt 랜섬노트가 생성되었던 반면, v2.0에서는 확장자가 CRAB로 변경되고 랜섬노트 명은 CRAB-DECRYPT.txt로 변경되었다.
[그림1] – 변경 된 확장자 및 랜섬노트 명
[C&C 도메인 변경]
GandCrab은 감염 PC의 IP정보, 사용자 이름, OS 버전, 유저 그룹 정보 등을 C&C로 전송하는데 이 주소가 아래와 같이 변경되었다.
|
C&C 도메인 |
|
politiaromana.bit
malwarehunterteam.bit
gdcb.bit |
[표2] – 변경 된 C&C 도메인
[암호화 제외 경로 및 파일명 변경, 암호화 대상 확장자 변경]
특정 경로와 특정 파일명에 해당하는 파일은 암호화에서 제외하는데 v2.0에서는 이때 확인하는 경로 몇 가지가 제외되고 몇 가지가 추가(빨간색 처리)되었다. 또한 제외 파일명은 랜섬노트를 제외하고는 동일하다.
|
암호화 제외 경로
|
암호화 제외 파일명
|
|
ProgramData IETldCache
Boot Program Files Tor Browser Ransomware All Users Local Settings Windows |
desktop.ini autorun.inf ntuser.dat iconcache.db bootsect.bak boot.ini ntuser.dat.log thumbs.db CRAB-DECRYPT.txt
|
[표3] – 기존 버전과 차이를 보이는 암호화 제외 경로 및 파일명
특히, 이전 버전의 GandCrab의 경우 특정 확장자 456개를 암호화 대상으로 하였으나, 이번 v2.0에서는 아래 확장자를 제외한 모든 파일을 암호화 한다.
|
암호화 제외 확장자 (42개) |
|
.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou |
[표4] – 암호화 제외 확장자
[랜섬노트 내용 변경]
GandCrab의 버전이 변경되었다는 것을 제작자가 랜섬노트에 아래와 같이 직접 명시하였다.
[그림2] – v2.0가 명시된 새 버전 GandCarb 랜섬노트
그 외의 몇 가지 기능은 여전히 존재한다.
자기 파일을 랜덤 파일명으로 복사한 뒤 Run키 등록하여 시스템에서 지속 실행 될 수 있도록 하며, 현재 동작 프로세스를 확인하여 특정 프로세스가 실행 중일 때 GandCarb 프로세스를 종료하는데 이 확인 프로세스 리스트는 기존과 변화없다. 또한 확인하는 AntiVirus 관련 프로세스 목록 또한 동일하다. 이 리스트는 위에 명시 된 기존 GandCrab 게시글에서 확인 가능하다.
GandCrab 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.
또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.
현재 V3에서는 GandCrab v2.0 랜섬웨어를 다음 진단명으로 진단 하고 있다.
– 파일 진단 : Trojan/Win32.RansomCrypt (2018.03.19.02)
– 행위 진단 : Malware/MDP.Ransom.M1171
Categories:악성코드 정보