국내에도 유포되는 GandCrab 랜섬웨어

최근 알려진 신종 랜섬웨어인 GandCrab이 국내에서 유포되고 있다. 해당 랜섬웨어는 Exploit Kit에 의해 취약한 웹사이트에 방문 시 감염된다. 최초 발견된 이후 부터 현재까지 지속적으로 유포가 되고 있다.

을 안랩의 악성코드 위협 분석 및 클라우드 진단 시스템인 ASD(AhnLab Smart Defense)에서 확인되었다.

출처: http://asec.ahnlab.com/1066?category=342979 [ASEC Threat Research & Response blog]

이 랜섬웨어에 감염될 경우 파일의 확장자가 .GDCB 로 변경되고 GDCB-DECRYPT.txt 파일이 생성된다.

[그림 1. 랜섬웨어 감염 시 확장자 변경]

GandCrab 랜섬웨어가 실행 될 시 자기 자신을 %appdata%\Microsoft\[Randomstr{6}].exe 로 복사 한 뒤 레지스트리 등록을 통해 PC에 남아 지속적으로 실행되도록 한다.

	파일 생성 경로	%appdata%\Microsoft\[Randomstr{6}].exe
	레지스트리	HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

[ 표 1. 지속적으로 실행하기 위한 파일 복사 및 자동 실행 등록 ]

이 후 특정 프로세스가 동작 중인지 확인하고 동작 중 일 경우 해당 프로세스를 종료한다.

프로세스 종료 대상

msftesql.exe sqlagent.exe sqlbrowser.exe sqlservr.exe sqlwriter.exe oracle.exe ocssd.exe dbsnmp.exe synctime.exe mydesktopqos.exe agntsvc.exeisqlplussvc.exe xfssvccon.exe mydesktopservice.exe ocautoupds.exe agntsvc.exeagntsvc.exe agntsvc.exeencsvc.exe firefoxconfig.exe tbirdconfig.exe ocomm.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe dbeng50.exe sqbcoreservice.exe excel.exe infopath.exe msaccess.exe mspub.exe onenote.exe outlook.exe powerpnt.exe steam.exe thebat.exe thebat64.exe thunderbird.exe visio.exe winword.exe wordpad.exe

[ 표 2. 프로세스 종료 대상 목록 ]

또한 C&C 연결을 통해 사용자의 정보를 수집하여 전송한다. 수집하는 사용자 정보 중 현재 실행 중인 프로세스 목록을 확인하여 AntiVirus 제품을 사용 중일 경우 해당 제품을 목록화 하여 함께 전송한다. 이 때 확인하는 프로세스 목록은 아래와 같다.

사용 중인 AntiVirus 제품 확인 목록

AVP.EXE ekrn.exe avgnt.exe ashDisp.exe NortonAntiBot.exe Mcshield.exe avengine.exe cmdagent.exe smc.exe persfw.exe pccpfw.exe fsguiexe.exe cfp.exe msmpeng.exe

[ 표 3. 사용자가 사용 중인 AntiVirus 제품 확인 대상 ]

그 외에도 IP, PC_USER, PC_NAME, PC_GROUP, 언어, OS version, OS bit, 식별자, 저장장치 정보를 함께 전송한다.

C&C 도메인

no****ra***m.bit em***o*t.bit ga****ab.bit

[ 표 4. C&C 도메인 ]

이 후 암호화를 진행하는데 암호화 대상은 아래와 같다.

암호화 대상 확장자 (456개)

.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

[ 표 5. 암호화 대상 확장자 ]

일부 경로 및 파일명은 암호화 대상에서 제외한다.

암호화 제외 경로	암호화 제외 파일명
\ProgramData\ \Program Files\ \Tor Browser\ \Ransomware\ \All Users\ \Local Settings\ %ProgramFiles% %CommonProgramFiles% %windir% %LOCALAPPDATA%	desktop.ini autorun.inf ntuser.dat iconcache.db bootsect.bak boot.ini ntuser.dat.log thumbs.db GDCB-DECRYPT.txt

[ 표 6. 암호화 제외 대상 ]

암호화 완료 후 복원을 불가능 하도록 하기 위해 wmic, vssadmin 등을 활용하여 Volumn Shadow Copy를 삭제한다.

[ 그림 2. 랜섬노트 ]

랜섬웨어의 특성상 완벽한 복구 방법이나 예방법은 없지만, 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.

또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.

현재 V3에서는 GandCrab 랜섬웨어를 다음 진단명으로 진단 하고 있다.

- 파일 진단 : Trojan/Win32.GandCrypt(2018.02.05.07)
- 행위 진단 : Malware/MDP.Ransom.M1171