꿈을꾸는 파랑새

일단 얼마 전에 소개해 드린? 랜섬웨어인 GandCrab Ransomware(그랜드크랩 랜섬웨어)에 대한 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개가 되었습니다. 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 몸값을 일단 대쉬(DASH)라는 것을 통해서 요구했기 때문에 일단 유명하기도 했습니다. 그리고 러시아 사용자를 위한 사이버 범죄 포럼에서 Ransomware-as-a-Service로 광고되었고 그리고 러시아인들은 감염을 최소화하고자 러시어는 피하고 특히 해당 랜섬웨어는 미국, 브라질, 인도, 인도네시아,파키스탄등에서 가장 큰 손해를 입기도 했습니다. 일단 해당 랜섬웨어는 다음과 증상을 보입니다.
오늘은 최근 한국에서도 퍼지는 랜섬웨어인 GandCrab Ransomware(그랜드크랩 랜섬웨어)에 대해 알아보겠습니다. 해당 랜섬웨어는 기본적으로 감염되면 확장자를. GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(그랜드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton,Symantec
Panda
Trend Micro
입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
등을 암호화합니다. 일단 기본적으로 상당히 많은 확장자가 암호화되는 것을 확인할 수가 있으며
\ProgramData\
\Program Files\
\Tor Browser\
Ransomware
\All Users\
\Local Settings\
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
GDCB-DECRYPT.txt
.sql
등의 증상을 보입니다.

GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구

일단 최근 루마니아 보안 업체인 BitDefender 에서 최근 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개를 공개했습니다. 물론 NoMoreRansom에서도 다운로드에서 다운로드를 할 수가 있습니다. 해당 복원화 도구는 컴퓨터에 적어도 하나의 몸값과 해독을 위해 테스트할 5개의 암호화 된 파일이 있어야 하며 이 몸값은 희생자의 고유 ID를 검색하는 데 사용되며, 이 ID는 Bitdefender에 올리기 되어 암호 해독 키가 사용 가능한지를 결정이 됩니다. 먼저 해당 GandCrab Decryptor를 다운로드를 합니다.

그리고 나서 프로그램을 실행하기 전에 바탕 화면에 test-decryption 이라는 폴더를 만들고 암호화된 파일과 몸값을 해당 폴더로 복사하지 말고 복사해야 합니다. 암호 해독기가 파일의 암호를 해독할 수 있는지 테스트하기 위해 용도로 해당 폴더는 사용됩니다. 테스트 암호 해독 폴더를 만들었으면 BDGandCrabDecryptTool.exe 실행 파일을 두 번 클릭하여 프로그램을 시작합니다.

일단 시작되면 사용권 계약이 표시되며 동의하려면 I Agree 버튼을 클릭해야 합니다. 그리고 나서 바탕 화면에서 만들어 두었던 test-decryption 폴더로 이동 한 다음 스캔 버튼을 클릭하십시오.

복호화 도구는 이제 메모장에서 피해자 ID를 검색하여 Bitdefender 서버에 업로드 하여 일치하는 암호 해독 키가 있는지 확인하는 과정을 거치게 돼 있습니다. 그리고 성공하면 프로그램은 스캔이 완료되고 지정된 폴더의 모든 파일이 해독됨이라는 영어로 메시지를 볼 수가 있을 것입니다. 일단 해당 랜섬웨어에 감염이 된 분들에게는 한번 시도를 해보는 것이 좋을 것이면 해독을 하려면 반드시 인터넷 연결이 필요합니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band