꿈을꾸는 파랑새

오늘은 최근에 유행하는 랜섬웨어 중 하나인 GandCrab Ransomware(갠드 랜섬웨어)가 새로운 버전인 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)으로 업데이트가 되었다는 소식입니다. 최근에 켤 스위치가 발표되었지만, 그것도 거의 2주도 안 된 사이에 새로운 버전으로 업데이트가 되었습니다. 일단 GandCrab Ransomware(갠드 랜섬웨어)는 오리지널 버전은 다음과 같은 증상이 있습니다.
섬웨어는 기본적으로 감염되면 확장자를.GDCB으로 변경을 해버립니다. 기본적으로 해당 GandCrab Ransomware(그랜드크랩 랜섬웨어)는 기본적으로 스팸메일, 불법다운로드 파일에 있으면 익스플로잇으로도 감염이 되면 해당 GandCrab Ransomware(갠드크랩 랜섬웨어)의 특징 중 하나가 보통 랜섬웨어들은 기본적으로 비트코인이라는 가상화폐를 이용하지만 해당 랜섬웨어는 대쉬이라는 가상화폐를 요구합니다.
그리고 해당 랜섬웨어는 GandCrab Ransomware(갠드드크랩 랜섬웨어)은 기본적으로 해당 감염이 된 환경이 어떤 보안 프로그램이 사용되고 있는지 확인을 하고 샌드박스, 가상환경을 사용하는지 체크를 합니다. 일단 다음 보안 프로그램이 설치돼 있는지 확인을 합니다.
Avast
Avira
Comodo
ESET NOD 32
F-Secure
Kaspersky
McAfee
Microsoft
Norton/Symantec
Panda
Trend Micro

입니다. 여기서 마이크로소프트는 윈도우에 탑재된 윈도우 디펜더 제품을 이야기합니다. 그리고 컴퓨터가 감염되면 기본적으로 다음과 같은 파일들이 암호화됩니다.
1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach,.acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx,.asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend,.bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn,.cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv,.d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des.design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb,.eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho,.gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw,.mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw,.msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb,.nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost,.otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef,.pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx,.pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,.ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm,.rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf,.sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx,.vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip
일단 해당 랜섬웨어 배포 방식은 스팸 메일, 이 메일 첨부 파일, 웹사이트 등으로 유포되고 있습니다. 일단 해당 랜섬웨어 제작자는 악성코드를 유포하기 위해서 다양한 방법을 사용합니다. 예를 들어서 사회공학적기법(쉽게 이야기하면 현재 인터넷 또는 사회에서 인기 있는 키워드 또는 정치적 이슈등을 이용을 하는 공격 방식)입니다.그리고 해당 방법이 아니면 소프트웨어프로그램에 악성코드를 삽입하는 방법입니다.

즉 프로그램을 다운로드를 하더라도 공식사이트에서 해야지 악성코드에 감염되는 것을 최소화할 수가 있지만 토렌트 같은 곳이나 출처가 불분명한 사이트에서 프로그램을 다운로드 및 실행을 하는 것은 위험한 행동 중 하나입니다. 아니면 Mozilla Firefox, Safari,Microsoft Edge,Opera,Internet Explorer,Google Chrome 같은 브라우저에서 사용되는 플러그인을 이용하는 방법도 있습니다. 물론 출처가 확실한 곳에서도 악성 플러그인 발견이 되고 있으므로 조심을 해야 할 것입니다. 그리고 Magnitude, RIG,GrandSoft,Exploit Kit들을 활용한 윈도우 취약점 및 브라우저 취약점 등을 활용한 공격입니다. 즉 윈도우 최적화를 한다고 윈도우 업데이트는 꺼버리는 것은 비추천 합니다. 물론 자신이 윈도우 업데이트가 되는 날을 알면 그때만 윈도우 업데이트 켜서 업데이트를 하고 꺼버리면 되겠지만, 보안을 위해서는 보안에 관한 것은 꺼버리는 것은 해서는 안 됩니다.

특히 UAC(사용자계정컨트롤),DEP(데이터실행방지)등과 같은 기능을 꺼버리면 안 됩니다. 일단 해당 GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)에 감염이 되면 먼저 부팅 순서를 변경하면 명령 프롬프트와 PowerShell을 관리자로 사용하여 사용자가 랜섬웨어 복구를 하려고 기본적으로 사용하는 볼륨 섀도 복사본(시스템복원지점)을 제거를 하면 그리고 파일들은 AES-256(CBC 모드)+RSA-2048 암호화 알고리즘을 사용하여 암호화하기 때문에 복구는 해당 랜섬웨어가 잡히지가 않는 이상 복구는 그냥 포기해야 합니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)변종 발견

[소프트웨어 팁/보안] - 랜섬웨어 GandCrab Ransomware(그랜드크랩 랜섬웨어) 복원화 도구 공개

[소프트웨어 팁/보안] - GandCrab Ransomware(그랜드크랩 랜섬웨어)감염 증상

그래서 백업을 하라고 하는 이유입니다. 그리고 백그라운드에서 random.exe를 실행하며 explorer.exe를 하이재커으로 하여서 시스템을 강제로 다시 시작하여 암호화를 완료할 수 있습니다. 그리고 기본적으로 250개 이상의 파일 형식을 대상으로 공격합니다. 그리고 나서 암호화를 완료되면 CRAB-DECRYPT.txt라는 파일을 형성하면 해당 내용은 다음과 같습니다.

--—= GANDCRAB V3 =—--
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .CRAB
The only method of recovering files is to purchase a private key. It is on our server, and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
0. Download Tor browser – https://www.torproject.org/
1. Install Tor browser
2. Open Tor Browser
3. Open link in TOR browser:
4. Follow the instructions on this page
On our page, you will see instructions on payment and get the opportunity to decrypt 1 file for free.
The alternative way to contact us is to use Jabber messanger. Read how to:
0. Download Psi-Plus Jabber Client: https://psi-im.org/download/
1. Register new account: http://sj.ms/register.php
0) Enter “username”: 21b1a2d1729f0695
1) Enter “password”: your password
2. Add new account in Psi
3. Add and write Jabber ID:ransomware@sjms any message
4. Follow instruction bot
ATTENTION!
It is a bot! It's fully automated artificial system without human control!
To contact us use TOR links. We can provide you all required proofs of decryption availibility anytime. We are open to conversations.
You can read instructions how to install and use jabber here http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
CAUGHTION!
Do not try to modify files or use your own private key. This will result in the loss of your data forever!
굳이 번역을 하면 다음과 같이 됩니다.
- = GANDCRAB V3 = -
주의!
모든 파일, 사진, 데이터베이스 및 기타 중요한 파일은 암호화되어 있으며 확장자는 .CRAB입니다
파일을 복구하는 유일한 방법은 개인 키를 사는 것입니다. 그것은 우리 서버에 있으며 파일만 복구할 수 있습니다.
키가 있는 서버가 닫힌 네트워크 TOR에 있습니다. 다음과 같은 방법으로 거기에 갈 수 있습니다.
Tor 브라우저 다운로드 - https://www.torproject.org/
1. Tor 브라우저 설치
2. Tor 브라우저 열기
3. TOR 브라우저에서 링크 열기 :
4.이 페이지의 지시 사항을 따르십시오.
우리 페이지에서 지급에 대한 지시 사항을 볼 수 있으며 1 파일을 무료로 해독할 기회를 얻습니다.
우리에게 연락하는 다른 방법은 Jabber messenger를 사용하는 것입니다. 방법을 읽어보십시오.
0. Psi-Plus Jabber 클라이언트 다운로드 : https://psi-im.org/download/
1. 새 계정 등록 : http://sj.ms/register.php
0) "username"을 입력하십시오 : 21b1a2d1729f0695
1) "암호"를 입력하십시오 : 암호
Psi에 새 계정을 추가하십시오.
3. Jabber ID를 추가하고 쓰십시오 : ransomware@sj.ms 모든 메시지
4. 명령 봇을 따르십시오.
주의!
봇입니다! 그것은 인간의 제어 없이 완전히 자동화된 인공 시스템입니다!
우리에게 연락하려면 TOR 링크를 사용하십시오. 우리는 언제든지 해독 가능한 모든 증거를 제공할 수 있습니다. 우리는 대화에 개방적입니다.
jabber 설치 및 사용 방법은 여기를 참고하십시오. http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
주의!
파일을 수정하거나 개인 키를 사용하지 마십시오. 이렇게 하면 데이터가 영구히 손실됩니다!

입니다. 그리고 전에도 소개해 드린 ShadowExplorer(새도우 익스플로워)는 아무런 소용이 없습니다. 앞서 이야기한 것처럼 볼륨 섀도 복사본(시스템복원지점)을 제거를 했기 때문에 아무런 소용이 없습니다.

[소프트웨어 팁/보안] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

굳이 복구 방법은 일단 포멧을 하고 나서 기존에 볼륨 섀도 복사본(시스템복원지점)을 만들어 놓은 백업파일을 이용해서 복구하거나 외장하드디스크 등에 저장된 복구지점을 통해서 이용하는 방법입니다. 즉 기본적으로 윈도우 업데이트는 기본적으로 자동업데이트로 하고 백신프로그램 설치,최신업데이트 유지,보조백신프로그램 또는 랜섬웨어 방지 프로그램 설치 및 실행 그리고 출처가 불분명한 사이트에서 프로그램, 영화 같은 것을 다운로드 및 실행을 하는 것은 하지 말아야 합니다. 즉 안전하게 사용을 하고 싶으면 윈도우도 공식사이트에서 ISO를 다운로드 및 정품인증을 위해서 윈도우를 구매해서 사용하는 것이 안전할 것입니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁] - 윈도우 업데이트 오류코드 0x8024402f 해결방법

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 보조 백신프로그램-Zemana AntiMalware Premium

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 자신이 걸린 랜섬웨어 종류를 확인을 해주는 사이트-Id Ransomware

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 컴퓨터 취약점 검사 도구-Kaspersky System Checker(카스퍼스키 시스템 검사기)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-CryptoPrevent

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법


728x90
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band