최근 새로운 버전의 GandCrab 랜섬웨어가 '지원서 및 정상 유틸리티 프로그램'으로 위장하여 유포되고 있음을 자사에서 확인하였다. 자사가 수집한 GandCrab의 수집경로는 아래 [표1]과 같다. 또한, 기존 v1.0과 달리 별도의 암호화 대상 확장자가 없어 대부분의 파일들이 암호화 됨으로 더 큰 피해가 발생할 수 있다.
|
수집 경로 |
|
|
지원서 위장 (license.exe) |
..\행정업무\프리랜서_계약비용\지원\이영윤\지원서\지원서\license.exe ..\documents\지원서\지원서\license.exe ..\desktop\이영윤\지원서\지원서\license.exe |
|
skype 위장 (skype.exe) |
..\pictures\이미지 링크정리\이미지 링크정리\skype.exe ..\documents\이미지 링크정리\이미지 링크정리\skype.exe |
|
kakaotalk 위장 (kakatotalk.exe) |
..\documents \이미지 링크정리\이미지 링크정리\kakaotalk.exe ..\desktop\전단지\이미지 링크정리\이미지 링크정리\kakaotalk.exe |
[표1] - GandCrab v2.0 수집 경로
위 유포 경로로 보아 GandCrab은 국내에 활발히 유포되고 있으며, 유포 시 압축 파일로 전파되었을 것으로 보인다. 출처가 불 분명한 파일에 대한 실행 시, 사용자 주의가 필요하며 현재까지 확인된 v2.0 배포에 확인된 3가지 이름의 파일은 실행하지 않는 것이 필요하다. 현재 국내발견 GandCrab은 v2.0으로 기존 자사 블로그에 개시(http://asec.ahnlab.com/1091)하였던 버전과 몇가지 차이를 보이는데 그 내용은 아래와 같다.
[확장자 및 랜섬노트명 변경]
기존 버전에서는 정상 파일 암호화 시 확장자가 GDCB로 변경되고 GDCB-DECRYPT.txt 랜섬노트가 생성되었던 반면, v2.0에서는 확장자가 CRAB로 변경되고 랜섬노트 명은 CRAB-DECRYPT.txt로 변경되었다.
[그림1] - 변경 된 확장자 및 랜섬노트 명
[C&C 도메인 변경]
GandCrab은 감염 PC의 IP정보, 사용자 이름, OS 버전, 유저 그룹 정보 등을 C&C로 전송하는데 이 주소가 아래와 같이 변경되었다.
|
C&C 도메인 |
|
politiaromana.bit malwarehunterteam.bit gdcb.bit |
[표2] - 변경 된 C&C 도메인
[암호화 제외 경로 및 파일명 변경, 암호화 대상 확장자 변경]
특정 경로와 특정 파일명에 해당하는 파일은 암호화에서 제외하는데 v2.0에서는 이때 확인하는 경로 몇 가지가 제외되고 몇 가지가 추가(빨간색 처리)되었다. 또한 제외 파일명은 랜섬노트를 제외하고는 동일하다.
|
암호화 제외 경로 |
암호화 제외 파일명 |
|
\ProgramData\ \IETldCache\ \Boot\ \Program Files\ \Tor Browser\ Ransomware \All Users\ \Local Settings\ \Windows\ |
desktop.ini autorun.inf ntuser.dat iconcache.db bootsect.bak boot.ini ntuser.dat.log thumbs.db CRAB-DECRYPT.txt |
[표3] - 기존 버전과 차이를 보이는 암호화 제외 경로 및 파일명
특히, 이전 버전의 GandCrab의 경우 특정 확장자 456개를 암호화 대상으로 하였으나, 이번 v2.0에서는 아래 확장자를 제외한 모든 파일을 암호화 한다.
|
암호화 제외 확장자 (42개) |
|
.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou |
[표4] - 암호화 제외 확장자
[랜섬노트 내용 변경]
GandCrab의 버전이 변경되었다는 것을 제작자가 랜섬노트에 아래와 같이 직접 명시하였다.
[그림2] - v2.0가 명시된 새 버전 GandCarb 랜섬노트
그 외의 몇 가지 기능은 여전히 존재한다.
자기 파일을 랜덤 파일명으로 복사한 뒤 Run키 등록하여 시스템에서 지속 실행 될 수 있도록 하며, 현재 동작 프로세스를 확인하여 특정 프로세스가 실행 중일 때 GandCarb 프로세스를 종료하는데 이 확인 프로세스 리스트는 기존과 변화없다. 또한 확인하는 AntiVirus 관련 프로세스 목록 또한 동일하다. 이 리스트는 위에 명시 된 기존 GandCrab 게시글에서 확인 가능하다.
GandCrab 피해를 최소화하기 위해서 항상 윈도우 보안 패치 및 V3 백신 프로그램을 최신 업데이트 상태로 유지하는 것이 중요하다.
또한 신뢰할 수 없는 출처의 메일 등의 첨부 파일 실행 및 확인되지 않은 웹 페이지 방문 시 사용자의 각별한 주의와 플래시 취약점을 이용함으로 플래시 보안 업데이트도 최신으로 유지가 필요하다.
현재 V3에서는 GandCrab v2.0 랜섬웨어를 다음 진단명으로 진단 하고 있다.
- 파일 진단 : Trojan/Win32.RansomCrypt (2018.03.19.02)
- 행위 진단 : Malware/MDP.Ransom.M1171
'악성코드 정보' 카테고리의 다른 글
| CVE-2018-0802 취약점을 활용한 악성코드 유포 주의 (0) | 2018.03.21 |
|---|---|
| SMB 취약점 (EternalBlue) 을 악용하여 유포 되는 모네로 코인 마이너 (0) | 2018.03.20 |
| Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용) (0) | 2018.03.16 |
| USB 전파기능의 JS 파일 내 자기 방어 기법 (0) | 2018.03.13 |
| USB 전파기능의 JS 파일에서 확인된 모네로 채굴기능 (0) | 2018.03.09 |
댓글