꿈을꾸는 파랑새

오늘은 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치 발견이 되었다는 소식입니다. 일단 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4)은 먼저 첫 번째 버전은 파일을 암호화하고. GDCB 확장자로 변경하지만, 이번 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)버전은 기본적으로 기존의 암호화 확장자가 아닌. KRAB로 변경을 합니다. 일단 해당 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)에 감염이 되면 현재로서는 복구 불가입니다.
일단 유포 방식은 기본적으로 흔히 과자라고 부르는 크랙파일을 이용해서 악성코드가 유포되고 있습니다. 그리고 기존의 랜섬웨어 들은 AES, RSA 같은 암호화 알고리즘을 이용했지만, 최근에서는 Salsa20 암호화 알고리즘을 사용하기 시작을 했습니다.

일단 해당 랜섬웨어인 GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4)은 감염이 되면 기본적으로 암호화할 파일의 컴퓨터와 모든 네트워크 공유를 검사를 시작하게 되고 네트워크 공유를 검색할 때 매핑 된 드라이브뿐 아니라 네트워크의 모든 공유가 열거되기 시작을 합니다. 그리고 파일들을 암호화하기 시작을 하면 해당 암호화된 파일은. KRAB확장자로 변경을 합니다.

그리고 암호화하지 않는 확장자는 다음과 같습니다.
 .ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures
그리고 암호화하지 않는 폴더들은 다음과 같습니다.

\ProgramData\
\IETldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
그리고 나서 러시아 어를 사용하는 국가들은 해당 랜섬웨어는 감염이 되지 않습니다.

러시아 어, 우크라이나어, 벨로루시 어,타직,아르메니아,아제르바이잔,그루지야 어(조지아 어),카자흐스탄,키르기스,투르크멘,우즈벡,타타르,루마니아어,몰도바 입니다.최근 해외 보안 업체인 Fortinet에서 해당 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 작동방식을 역으로 이용해서 해당 랜섬웨어를 예방을 하는 방법을 국내 보안 업체인 안랩에서 파일을 공개했습니다.
즉 해당 랜섬웨어는 Common AppData 폴더에 특별한 규칙을 갖는 무작위 8자리 파일 이름. lock 파일이 발견되면 랜섬웨어가 종료가 되는 것을 역으로 이용하는 방법입니다.
해당 파일의 위치는 다음과 같습니다.
윈도우 XP:C:\Documents and Settings\All Users\Application Data
윈도우 7,윈도우 8,윈도우 10:C:\ProgramData
입니다. 먼저 안랩에서 제공을 하는 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치를 제공하는 사이트로 이동합니다.

갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치

그리고 나서 해당 부분으로 내려가다 보면 압축파일이 하나가 있을 것입니다. 그리고 나서 압축파일을 풀고 나서 해당 파일을 관리자권한으로 실행을 시켜줍니다. 그리고 나면 끝입니다. 그리고 나서 C:\ProgramData으로 폴더로 이동하면 다음과 같이 426BD648.lock이라는 파일이 생성된 것을 볼 수가 있을 것입니다.

일단 임시적으로 나마 해당 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4)를 임시로 차단할 수가 있겠지만 제일 중요한 것은 항상 주의를 해야 할 것입니다.


728x90
반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band