check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

.KRAB 확장자로 파일 암호화하는 갠드크랩 4.0 랜섬웨어 확산...주의

길민권 기자 mkgil@dailysecu.com 2018년 07월 08일 일요일

hacker-3480124_640.jpg
최근 .KRAB 확장자로 파일을 암호화하는 갠드크랩(GandCrab) 4.0 버전의 랜섬웨어가 등장해 이용자들의 각별한 주의가 요구된다.

이번에 발견된 GandCrab 4.0이 실행될 경우 SQL 관련 프로그램 및 오피스, 스팀과 같은 프로그램 프로세스가 종료된다. 이는 암호화 대상 파일의 쓰기 권한을 확보하기 위한 것으로 파악된다.

또 GandCrab 4.0에서는 키보드 레이아웃에 '러시아어'가 있는지와 시스템 언어 환경이 '러시아, 우크라이나, 벨라루스, 타지키스탄, 아르메니아, 아제르바이잔, 조지아, 카자흐스탄, 키르기스스탄, 투르크메니스탄, 우즈베키스탄, 타타르' 등인지 확인한다. 만일 조건을 만족할 경우 암호화를 진행하지 않고 자가 삭제 및 프로세스를 종료한다. 이들 언어는 랜섬웨어 타깃에서 제외시키는 것이다.

암호화 진행 전, 암호화 제외 폴더, 파일, 확장자 문자열을 제외하고 암호화를 진행한다. 암호화 제외 문자열을 확인하는 이유는 불필요한 암호화 방지와 랜섬노트 암호화를 제외하기 위함으로 보여진다.

이번 GandCrab 4.0에서는 'crab', 'GDCB', 'gdcb', '.yassine_lemmou'가 제외되고 'lock', 'KRAB', 'zerophage_i_like_your_pictures' 확장자 문자열이 새롭게 추가 된 것을 알 수 있다.

각 암호화 대상 폴더에 'KRAB-DECRYPT.txt' 이름의 랜섬노트 파일을 생성하고 파일들을 암호화한다. 암호화된 파일 뒤에는 'KRAB' 확장자가 추가된다.

암호화 완료 이후, 암호화된 파일의 복원을 방지하기 위해 쉐도우 볼륨 복사본을 삭제한다. 쉐도우 볼륨 복사본 삭제가 완료되면 자가 삭제를 진행한다.

▲ 갠드크랩 4.0 랜섬웨어 다크넷 화면
▲ 갠드크랩 4.0 랜섬웨어 다크넷 화면
최종적으로, GandCrab 4.0에서 드롭한 랜섬노트 'KRAB-DECRYPT.txt'에는 암호화된 파일의 복호화를 위해서는 토르 웹 브라우저를 통해 GandCrab 다크넷 주소(http://gandcrabmfe6mnef[.]onion)로 접속해 가상화폐(BTC, DASH)를 결제하라는 내용을 보여준다.

랜섬노트를 통해 접속하는 GandCrab 다크넷 웹 사이트에서는 결제를 위해 BTC(비트코인)과 DASH(대시) 가상화폐 결제를 유도한다.

▲ 이전 버젼의 갠드크랩과 갠드크랩  4.0 비교. 이스트시큐리티 제공.
▲ 이전 버젼의 갠드크랩과 갠드크랩 4.0 비교. 이스트시큐리티 제공.
위 이미지는 이스트시큐리티에서 GandCrab 4.0과 예전 GandCrab를 비교해 정리한 표다. 이전 GandCrab 랜섬웨어 버전에서는 C&C 통신으로 감염 기기 시스템 및 감염 통계 전송 및 암호화 키 수신이 이루어졌다. 하지만 이번 GandCrab 4.0에서는 C&C 통신 없이 암호화를 진행하고 있다. 또한 이번 버젼과 대비해 암호화 제외 환경이 늘어났으며 바탕화면 변경 기능과 자가 복제, 자동 실행 기능이 사라졌다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 "지속적으로 랜섬웨어가 버전을 거듭하면서 변화하고 있는 만큼, 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 한다"며 "또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록