갠드크랩 랜섬웨어 변종, C&C 서버와 통신 없이 파일 암호화 진행
갠드크랩 랜섬웨어는 올해 1월 최초 등장해 한국어로 작성된 다양한 이메일을 통해 표적형 공격을 시도했다. 여전히 입사지원서, 채무, 이미지 도용 및 저작권과 관련된 메일을 통해 감염시키고 있다.
이메일 유포 방식 외에도 취약점을 통한 유포 행위도 있었지만, 5월 하순 이후로는 취약점 유포는 사라진 상태이다.
갠드크랩 랜섬웨어의 변종은 기존과 다르게 C&C 서버와 통신 없이 파일 암호화가 진행된다. 이메일, 문서 편집, SQL 및 데이터 관련 프로세스가 실행될 경우 종료 후 파일 암호화가 진행되는 것은 기존과 동일하다.
생성된 KRAB-DECRYPT.txt 파일은 GANDCRAB V4 버전으로 표시되어 있으며, 토르 웹 브라우저를 통해 특정 주소(.onion)로 접속해 비트코인 또는 DASH 암호화폐로 지불하도록 안내한다.
파일 암호화 완료 시점에 "C:Windowssystem32wbemwmic.exe" shadowcopy delete 명령어 실행을 통해 파일을 복구할 수 없게 한다.
체크멀 관계자는 “갠드크랩 랜섬웨어 v4 버전에 대해서도 앱체크 안티랜섬웨어는 추가 업데이트 없이 파일 암호화 행위 탐지, 차단 및 일부 훼손 파일의 자동 복원을 지원한다”고 말했다.
또 "활발하게 유포가 이루어질 가능성이 높은 랜섬웨어기 때문에 메일의 첨부파일 또는 URL 링크를 통한 실행, MS 워드 문서의 매크로 기능 실행을 통한 랜섬웨어 감염이 이루어지지 않도록 각별히 주의할 것"을 당부했다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지