오늘은 지난 시간에 소개해 드린 랜섬웨어인 GandCrab Ransomware(갠드 랜섬웨어)버전이 새롭게 업데이트가 된 GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법에 대해 알아보는 시간을 가져 보겠습니다. 일단 기본적으로 처음 버전은 다음과 같은 증상을 보입니다.
해당 랜섬웨어는 기본적으로 감염되면 확장자를. GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(갠드 크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드 크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인 이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬 이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드 크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro
입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
등을 암호화합니다. 일단 기본적으로 상당히 많은 확장자가 암호화되는 것을 확인할 수가 있으며
\ProgramData\
\Program Files\
\Tor Browser\
Ransomware
\All Users\
\Local Settings\
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
GDCB-DECRYPT.txt
.sql
해당 랜섬웨어는 Adobe Flash Player의 취약점을 악용하고 있습니다. CVE-2018-4878로 알려졌으면 어도비 플래시 플레이어 익스플로잇이며 Adobe Flash Player 버전 28.0.0.161 취약점을 악용하는 것입니다. 그리고 해당 랜섬웨어는 일단 CRAB-DECRYPT.txt 파일을 만들고 해당 부분에 랜섬웨어 노트를 만듭니다.
그리고 안에 들어 있는 랜섬웨어 내용은 다음과 같습니다.
— “GANDCRAB V2.1 “—
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor browser
3. Open link in TOR browser: http://gandcrab2pie73et.onion/xxxxxxxxxx
4. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
0. https://gandcrab2pie73et.onion.rip/xxxxxxxxxxxxxx
1. https://gandcrab2pie73et.onion.plus/xxxxxxxxxxxxx
2. https://gandcrab2pie73et.onion.to/xxxxxxxxxxxxxxx
ATTENTION! Use regular browser only to contact us. Buy decryptor only through TOR browser link or Jabber Bot!
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us to use Habber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.orx/download/
1. Register new account: https://sj.ms/register.pxx
0) Enter “username”: xxxxxxxxxxxx
1.Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID: ransomware@sj.ms any message
4. Follow instruction bot
It is a bot! It’s fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availability anytime. We are open to conversations.
DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!
그리고 2018년4월19일에서는 이전 버전과 유사한 템플리트 엔진을 사용을 하면 다음과 같은 메세지를 표시를 합니다.
Payment amount 724.63768116 DSH ($300,000.00)
1. Buy cryptocurrency DASH. Here you can find services where you can do it.
2. Send 724.63768116 DSH to the address:xkdDtXZoFAA3JP89Q4s4E2AcZYcScuD2gn
Attention!
Please be careful and check the address visually after copy-pasting (because there is a probability of a malware on your PC that monitors and changes the address in your clipboard)
If you don’t use TOR browser:
Send a verification payment for a small amount, and then, make sure that the coins are coming, then send the rest of the amount.We won’t take any responsibility if your funds don’t reach us
3. After payment, you will see your transactions below
The transaction will be confirmed after it receives 3 confirmations (usually it takes about 10 minutes)
그리고 새로운 버전은 랜섬웨어에 감염이 된 랜섬웨어 몸값을 할인을 해주는 일종의 프로모션의 기능이 포함되기도 했습니다.
그리고 한국을 대표하는 보안 기업인 안랩에서는 Magnitude 익스플로잇 킷을 통해 Fileless 형태로 유포 중인 GandCrab v2.1을 발견했고 윈도우 정상 프로세스(mshta.exe,rundll32.exe,WMIC.exe)를 통해 악의적으로 조작된 사이트로 강제로 이동하게 구성이 되었고 그리고. ldf가 추가된 암호화는 제외되고 확장자 43개를 추가했다고 합니다.
ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou
그리고 해당 갠드 크랩 랜섬웨어는 공개키 기반의 암호화 방식(AES-256)을 사용을 하며 그리고 파일마다 랜덤한 키 바이트를 생성하여 암호화하고 랜덤 키를 다시 공격자의 공개키로 암호화를 진행되는 방식입니다. 그리고 해당 랜섬웨어 예방 방법의 하나인 것은 인터넷에 보면 윈도우 최적화를 한다고 꺼버리는 DEP기능을 정상적으로 돌려주는 것입니다. 기본적으로 DEP기능은 사용이 되게 돼 있지만, 만약 켜두지 않았다면 제어판->시스템->고급 시스템 설정->설정->데이터 실행 방지(DEP)으로 이동을 하고 나서 데이터 실행 방지(DEP)를 필수 Windows 프로그램 및 서비스에만 사용을 선택해줍니다. 그리고 GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)을 무력화할 수가 있는 킬 스위치(Kill-Switch)를 확인을 했다고 하면 안랩에서 제공을 하는 파일 Text.txt를 이용한다고 하면 파일 내부에 10바이트의 특정 데이터가 존재할 때 해당 파일 이하 경로는 암호화하지 않는 것을 확인되었다고 합니다.
안랩 갠드 크랩 랜섬웨어 2.1 버전 예방 텍스트
안랩에서는 해당 Text.txt를 감염을 방지하고 싶은 루트디렉터리에 복사 그리고 붙여 넣기를 해주면 됩니다.
예를 C 드라이버를 암호화하고 싶지 않는다면 C:\에 넣으면 됩니다. 그리고 C 드라이브 하위 암호화 차단을 할 수가 있다고 합니다. 해당 파일은 안랩에서 다운로드 해서 사용을 하면 될 것이면 기본적으로 윈도우 업데이트 및 자신이 사용하는 프로그램들은 최신 업데이트로 유지하면 그리고 보조 백신프로그램 또는 랜섬웨어 방지 프로그램을 설치해서 보호하시면 되고 제일 중요한 것은 윈도우 업데이트 및 프로그램 최신 업데이트 유지 그리고 백신프로그램 실시간 감시 최신업데이트를 유지를 해야 합니다. 일단 기본적으로 한국에서 확산이 되고 있기 때문에 항상 주의하시고 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 설치를 실행하는 것은 자제해야 합니다.
<기타 관련 글>
[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견
[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개
[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상
[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어 Magniber 랜섬웨어(메그니베르 랜섬웨어)(README.txt) 복구툴 공개
[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper
[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)
[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool
[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법
[소프트웨어 팁/보안] - 윈도우 디펜더 익스플로잇 기능 설정 하기
[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)
[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree
[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법
[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium
[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)
[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)
[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner
[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware
[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법
[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법
[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
윈도우 10 레드스톤 4 호환성 오류에 대한 파이어폭스 59.0.3 업데이트 (4) | 2018.05.02 |
---|---|
GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상 (0) | 2018.05.01 |
윈도우 10 1709 KB4093105 누적 업데이트 (2) | 2018.04.27 |
Internet Explorer 브라우저 원격 코드 실행 취약점 주의(2018.4.20) (2) | 2018.04.26 |
윈도우 10 KB4093120,KB4093117 누적 업데이트 (2) | 2018.04.20 |
Java SE 10.0.1,Java SE 8 Update 171 보안 업데이트 (2) | 2018.04.19 |
강제로 배틀그라운드를 해야 하는 랜섬웨어-PUBG Ransomware (0) | 2018.04.16 |
Adobe Flash Player 29.0.0.140(어도비 플래쉬 플레이어 29.0.0.140)보안 업데이트 (0) | 2018.04.12 |