꿈을꾸는 파랑새

오늘은 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)이 발견이 되었다는 소식입니다. 일단 첫번쨰 버전은 파일을 암호화하고. GDCB 확장자로 변경하지만, 이번 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)버전은 기본적으로 기존의 암호화 확장자가 아닌. KRAB로 변경을 합니다. 일단 해당 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)에 감염이 되면 현재로서는 복구 불가입니다.

일단 유포 방식은 기본적으로 흔히 과자라고 부르는 크랙파일을 이용해서 악성코드가 유포되고 있습니다. 그리고 기존의 랜섬웨어 들은 AES, RSA 같은 암호화 알고리즘을 이용했지만, 최근에서는 Salsa20 암호화 알고리즘을 사용하기 시작을 했습니다.

일단 해당 랜섬웨어인 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)은 감염이 되면 기본적으로 암호화할 파일의 컴퓨터와 모든 네트워크 공유를 검사를 시작하게 되고 네트워크 공유를 검색할 때 매핑 된 드라이브뿐 아니라 네트워크의 모든 공유가 열거되기 시작을 합니다. 그리고 파일들을 암호화하기 시작을 하면 해당 암호화된 파일은. KRAB확장자로 변경을 합니다.

그리고 파일을 암호화할 때 랜섬웨어는 피해자의 파일에 일어난 일에 대한 정보와 지급 지시를 위해 연결할 TOR 사이트 (gandcrabmfe6mnef.onion) 및 랜섬웨어 개발자가 암호화된 정보를 포함하는 KRAB-DECRYPT.txt이라는 몸값 메모를 생성하며 암호화 키로 복구해야 합니다. 그리고 악성코드에 감염되면 복구 도구인 GandCrab Decryptor를 받으려고 TOR 지불 사이트에 접속을 시도합니다.

그리고 몸값은 언제나 암호화폐 중 하나인 DASH(대쉬)암호화 화폐를 요구합니다. 그리고 악성코드 중 하나인. js파일이 실행이 되면 파일을 삭제합니다. 그리고 파일을 삭제하는 위치는 다음과 같습니다.
C:\Users\{사용자 이름}\AppData\{악성코드 이름}.exe
악성코드 해쉬값:97a910c50171124f2cd8cfc7a4f2fa4f
그리고 악성코드를 컴퓨터에서 재시작을 하면 다시 작동을 하려고 다음과 같이 레지스터리 값을 등록합니다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
그리고 랜섬웨어 노트는 다음과 같습니다.

–= GANDCRAB V4 =—
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .KRAB
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
—————————————————————————————-
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:
| 4. Follow the instructions on this page
—————————————————————————————-
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
—BEGIN GANDCRAB KEY—
—END GANDCRAB KEY—
—BEGIN PC DATA—
—END PC DATA—

뭐 대충을 랜섬웨어 노트를 해석하면 다음과 같습니다.
모든 파일, 문서, 사진, 동영상을 암호화했고 그리고 .KRAB로 암호화했으며 파일을 복구하는 유일한 방법은 고유 개인 키를 사야 한다는 메시지와 Tor 브라우저를 설치하고 해당 TOR 브라우저에서 링크 열기 그리고 데이터를 변경을 하지 말라고 하면 Windows 명령 프롬프터에서 다음 명령을 관리자를 실행합니다.
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc

sc stop WerSvc
cmd.exe/C bcdedit /set {기본} recoveryenabled No
cmd.exe/C bcdedit /set {기본} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe”/C vssadmin.exe Delete Shadows /All /Quiet
입니다. 해당 명령어들을 보면 기본적으로 시스템 복구시점을 복구할 수가 없게 만들었고 그리고 윈도우 디펜더를 중지시키면 시스템 복구시점을 삭제합니다. 즉 섀도우 볼륨 사본을 삭제하기 때문에 랜섬웨어에 감염이 되면 하드디스크를 포멧하거나 아니면 악성코드 제작자에게 암호화 화폐를 지급하는 방법뿐입니다. 물론 악성코드 제작자에게 암호화 화폐를 보낸다고 100% 복구를 할 수가 있다는 것은 보장할 수가 없습니다. 즉 이런 상황을 맞이하지 않으려면 기본적으로 윈도우 업데이트를 최신으로 유지하고 그리고 백신프로그램은 항상 최신 업데이트 및 실시간 감시를 하면 랜섬웨어 방어프로그램을 설치하는 것도 중요하면 그리고 크랙 프로그램같은것을 함부로 내려받아서 사용하지 말고 유료 프로그램을 정상적으로 구매해서 사용하거나 아니면 유료 프로그램을 대체할 수가 있는 오픈소스프로그램을 사용하는 것도 좋은 방법도 좋다고 생각이 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band