2024-03-29 00:50 (금)
갠드크랩 랜섬웨어 계속 진화...변종 v4 버전 발견돼
상태바
갠드크랩 랜섬웨어 계속 진화...변종 v4 버전 발견돼
  • 길민권 기자
  • 승인 2018.07.03 15:29
이 기사를 공유합니다

갠드크랩 랜섬웨어 변종, C&C 서버와 통신 없이 파일 암호화 진행

aa-2.jpg
안티랜섬웨어 전문기업 체크멀(대표 김정훈)은 갠드크랩(GandCrab) 랜섬웨어가 v4 버전으로 새로운 변종이 실행된 것을 확인했다고 3일 밝혔다.

갠드크랩 랜섬웨어는 올해 1월 최초 등장해 한국어로 작성된 다양한 이메일을 통해 표적형 공격을 시도했다. 여전히 입사지원서, 채무, 이미지 도용 및 저작권과 관련된 메일을 통해 감염시키고 있다.

이메일 유포 방식 외에도 취약점을 통한 유포 행위도 있었지만, 5월 하순 이후로는 취약점 유포는 사라진 상태이다.

갠드크랩 랜섬웨어의 변종은 기존과 다르게 C&C 서버와 통신 없이 파일 암호화가 진행된다. 이메일, 문서 편집, SQL 및 데이터 관련 프로세스가 실행될 경우 종료 후 파일 암호화가 진행되는 것은 기존과 동일하다.

1-1.jpg
암호화된 파일은 .KRAB 파일 확장명이 추가되고 각 암호화 대상 폴더에는 KRAB-DECRYPT.txt 결제 안내 파일이 생성된다. KRAB-DECRYPT.txt 결제 안내 파일에 GANDCRAB KEY 정보와 PC DATA 정보가 포함되어 있는 것이 특징이다.

생성된 KRAB-DECRYPT.txt 파일은 GANDCRAB V4 버전으로 표시되어 있으며, 토르 웹 브라우저를 통해 특정 주소(.onion)로 접속해 비트코인 또는 DASH 암호화폐로 지불하도록 안내한다.

파일 암호화 완료 시점에 "C:Windowssystem32wbemwmic.exe" shadowcopy delete 명령어 실행을 통해 파일을 복구할 수 없게 한다.

체크멀 관계자는 “갠드크랩 랜섬웨어 v4 버전에 대해서도 앱체크 안티랜섬웨어는 추가 업데이트 없이 파일 암호화 행위 탐지, 차단 및 일부 훼손 파일의 자동 복원을 지원한다”고 말했다.

또 "활발하게 유포가 이루어질 가능성이 높은 랜섬웨어기 때문에 메일의 첨부파일 또는 URL 링크를 통한 실행, MS 워드 문서의 매크로 기능 실행을 통한 랜섬웨어 감염이 이루어지지 않도록 각별히 주의할 것"을 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★