일단 갠드크랩 랜섬웨어(GandCrab Rnsomware) 버전 4.1.3 킬스위치을 이용을 하려고 먼저 갠드크랩 랜섬웨어(GandCrab Rnsomware)에 대해 알아보겠습니다. 일단 갠드크랩 랜섬웨어(GandCrab Rnsomware)은 기본적으로 기존의 암호화 확장자가 아닌. KRAB로 변경을 합니다. 일단 해당 GandCrab Ransomware V4.13(갠드크랩 랜섬웨어 버전 4.1.3)에 감염이 되면 현재로서는 복구 불가입니다.
일단 유포 방식은 기본적으로 흔히 과자라고 부르는 크랙파일을 이용해서 악성코드가 유포되고 있습니다. 그리고 기존의 랜섬웨어 들은 AES, RSA 같은 암호화 알고리즘을 이용했지만, 최근에서는 Salsa20 암호화 알고리즘을 사용하기 시작을 했습니다.
일단 해당 랜섬웨어인 GandCrab Ransomware V4.1.3(갠드크랩 랜섬웨어 버전 4.1.3)은 감염이 되면 기본적으로 암호화할 파일의 컴퓨터와 모든 네트워크 공유를 검사를 시작하게 되고 네트워크 공유를 검색할 때 매핑 된 드라이브뿐 아니라 네트워크의 모든 공유가 열거되기 시작을 합니다. 그리고 파일들을 암호화하기 시작을 하면 해당 암호화된 파일은. KRAB 확장자로 변경합니다.
갠드크랩 랜섬웨어(GandCrab Rnsomware) 버전 4.1.3 킬스위치
그리고 암호화하지 않는 확장자는 다음과 같습니다.
.ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod.mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme.themepack .exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures
그리고 암호화하지 않는 폴더들은 다음과 같습니다.
\ProgramData\
\IETldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
그리고 나서 러시아 어를 사용하는 국가들은 해당 랜섬웨어는 감염이 되지 않습니다.
러시아 어, 우크라이나어, 벨로루시 어,아르메니아,아제르바이잔,그루지야 어(조지아 어),카자흐스탄,키르기스,투르크멘,우즈벡,타타르,루마니아어,몰도바 입니다.
즉 해당 랜섬웨어는 Common AppData 폴더에 특별한 규칙을 갖는 무작위 8자리 파일 이름. lock 파일이 발견되면 랜섬웨어가 종료가 되는 것을 역으로 이용하는 방법입니다.
[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법
[소프트웨어 팁/보안] - GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상
[소프트웨어 팁/보안] - GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4) 감염 증상
[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치 발견
이번 갠드크램 랜섬웨어 4.1.3 버전은 특징은 다음과 같습니다.
%X ahnlab httx://memesmix.net/media/created/dd0doq.jpg 스트링을 이용하여 기존과 같은 salsa20 알고리즘으로 Global\.lock을 생성을 합니다.
여기서 특이한 것은 기본적으로 저번에 킬 스위치를 만든 안랩을 상대로 한번 거하게 욕을 날리는 메시지를 볼 수가 있습니다.
소스를 한번 보면 당당하게 영어로 안랩이라고 적혀져 있고 링크된 사진파일을 열어보면 다음과 같이 적혀져 있습니다. 그리고 러시아 어는 잘 못하지만, 욕이 적혀져 있는 것을 볼 수가 있습니다.
대충 이런 뜻이 아닐까 생각이 됩니다.
I added you to the Ga00 list, so far i used the pencil.
그리고 파일은 Windows 논리 장치 하드디스크 값의 일련 x 호에서 이름을 가져오고 악성코드는 해당 이름으로 간단한 계산을 하고 확장자가. lock인 % appdata % 또는 % program files % 폴더에 만들게 됩니다.
그리고 해당 랜섬웨어는 특수 잠금 파일 대신 특수 뮤텍스 생성을 하면 그리고 %appdata%, %program files% folder에. lock를 생성합니다.
일단 랜섬웨어에 감염이 되지 않으려면 반드시 귀찮더라고 윈도우 업데이트는 진행을 해야 하면 출처가 불분명한 사이트에서 파일을 다운로드 및 실행을 하지 말아야 할 것입니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
PTP Ransomware(PTP 랜섬웨어)감염 증상 (0) | 2018.08.31 |
---|---|
윈도우 10 v1803 KB4100347 인텔 마이크로 코드 업데이트 (8) | 2018.08.28 |
어도비 플래쉬 플레이어&Adobe Acrobat Acrobat Reader 보안 업데이트 (6) | 2018.08.17 |
윈도우 10 버전 1803 KB4343909 보안 업데이트 (4) | 2018.08.16 |
히틀러 랜섬웨어(Hitler Ransomware) 감염 및 증상 (0) | 2018.08.02 |
인터넷 DNS 트랙픽을 암호화하는 DNSCrypt (0) | 2018.08.01 |
윈도우 10 1803 KB4340917 누적 업데이트 (0) | 2018.07.26 |
윈도우 10에서 JAVA를 안전하게 사용하는 방법 (0) | 2018.07.16 |