꿈을꾸는 파랑새

오늘은 간단하게 GANDCRAB v5.0.4 Ransomware(갠드크랩 랜섬웨어 5.0.4)) 감염 및 증상에 대해서 알아보겠습니다. 먼저 해당 GANDCRAB은 일단 개인적으로는 꽃게 랜섬웨어라고 부르는 랜섬웨어 입니다.

일단 해당 갠드크랩 랜섬웨어는 국내에서도 가장 활발하게 유포되고 있는 랜섬웨어 종류 중 하나이며 매번 버전은 업데이트가 되고 있어서 사용자의 복구를 방해하고 있으며 그리고 제작국가는 러시아에서 제작되고 있으며 GANDCRAB 5.0.4 버전은 기업에서 가장 많이 사용하는 문서 작성 프로그램인 MS워드의 매크로 기능을 악용해 공격을 시도하고 있습니다.

그리고 악의적인 목적을 가진 랜섬웨어 제작자는 일단 악성 워드 문서 파일이 첨부된 이메일을 불특정 다수에게 발송하고 나서 사용자가 첨부된 파일을 열어보면 매크로 활성화를 허용해서 자동으로 랜섬웨어가 다운로드 및 설치되도록 하는 공격 방식을 사용합니다.

그리고 GANDCRAB v5.0.4 Ransomware은 지난 버전부터 한국의 보안 업체 중 하나인 V3를 증오하는지 해당 백신프로그램을 삭제를 시도하고 랜섬웨어 코드 안에 안랩을 욕을 하는 문구를 넣기로도 유명한 랜섬웨어 중 하나입니다.

GANDCRAB v5.0.4 ransomware는 Windows 레지스트리에 다양한 항목을 만들어서 지속성을 유지하고 Windows 환경에서 프로세스를 시작하거나 억제를 할 수가 있습니다. 즉 이러한 방법으로 Windows 운영 체제를 부팅 할 때마다 자동으로 랜섬웨어를 시작하도록 설계돼 있습니다.

물론 랜섬웨어 제작자들은 사용자 컴퓨터를 암호화를 하고 나서 필요한 것이 돈이 목적이므로 CRRILRPP-DECRYPT.txt 랜섬노트를 만들고 복호화(암호화 해제)를 위해서 토르(Tor) 브라우저로 특정 사이트에 접속하여 달라고 요구하며 토르 브라우저를 통해 딥웹(Deep Web)에 접속할 수 있어 불법적인 목적으로 많이 사용되는 브라우저 이도 합니다. 아무튼, 이런 익명성을 요구하는 곳으로부터 사용자에게 돈을 요구합니다. 물론 직접적으로 사용을 하는 화폐를 요구하지 않고 암호화폐인 대쉬를 요구합니다.
몸값의 이름은 대문자로 된 이 확장자를 사용하고 -DECRYPT.txt 또는 -DECRYPT.HTML을 추가함으로써 형성됩니다. 예를 들어 지침이 포함된 메모는 XXXXXXXX-DECRYPT.txt이라고 할 수가 있겠습니다.
랜섬웨어 노트는 다음과 같은 내용이 포함돼 있습니다.
—= GANDCRAB V5.0.4 =— -
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .xxxxxxx
The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only and only we can recover your files.
The server with your key is in a closed network TOR
You can get there by the following ways:
—————————————————————————————– ------------------------------
| | 0. Download Tor browser – https://www.torproject.org/
| | 1. Install Tor Browser
| 2. Open Tor Browser
| | 3. Open link in TOR browser http://gandcrabmfe6mnef.onion/XXXXXXXXX
| | 4. Follow the instructions on this page
—————————————————————————————– ------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE
*DO NOT MODIFY ENCRYPTED FILES
*DO NOT CHANGE DATA BELOW
등이 포함돼 있습니다.
랜섬 메모에는 다음과 같은 TOR 네트워크에서 호스팅 되는 지불 페이지를 방문하는 것으로 설명되어 있습니다.
We are sorry, but your files have been encrypted!
Don't worry, we can help you to return all of your files!
Files decryptor's price is 2400 USD
If payment isn't made until 년도년월년일 UTC the cost of decrypting files will be doubled
Amount was doubled!
Time left to double price:
—————————————————————————————– ------------------------------
What the matter?
Buy GandCrab Decryptor Support is 24/7 Test decrypt Buy GandCrab Decryptor Support
—————————————————————————————– ------------------------------
Please turn on javascript!!
What the matter?
Your computer has been infected with GandCrab Ransomware. Your files have been encrypted and you can't decrypt it by yourself.
In the network, you can probably find decryptors and third-party software, but it won't help you and it only can make your files undecryptable
What can I do to get my files back?
You should buy GandCrab Decryptor
This software will help you to decrypt all of your encrypted files and remove GandCrab Ransomware from your PC.
Current price: $2,400.00.
As payment, you need cryptocurrency DASH or Bitcoin
What guarantees can you give to me?
You can use test decryption and decrypt 1 file for free
What is cryptocurrency and how can I purchase GandCrab Decryptor?
You can read more details about cryptocurrency at Google or here.
As payment, you have to buy DASH or Bitcoin using a credit card, and send coins to our address.
How can I pay to you?
You have to buy Bitcoin or DASH using a credit card.
Links to services where you can do it: Dash exchanges list, Bitcoin exchanges list
After it, go to our payment page Buy GandCrab Decryptor, choose your payment method and follow the instructions
랜섬웨어에 암호화된 파일을 복원하려면 반드시 악성코드 제작자 안내하는 공격자가 사이트에 접속하여 복호화를 대가로 암호화폐(가상화폐)인 대시(DASH)와 비트코인(Bitcoin)의 지불을 요구하는 화면이 나타나지만 지불을 한다고 해도 랜섬웨어에 의해서 암호화된 파일들을 복구할 수가 있다는 보장은 없습니다.
그리고 암호화하는 파일들 목록들은 다음과 같습니다.
.1st, .602, .7z, .7-zip, .abw, .act, .adoc, .aim, .ans, .apkg, .apt, .arj, .asc, .asc, .ascii, .ase, .aty, .awp, .awt, .aww, .cab, .doc, .docb, .docx, .dotm, .gzip, .iso, .lzh, .lzma, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .rar, .sldm, .sldx, .tar, .vbo, .vdi, .vmdk, .vmem, .vmx, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xps, .z, .zip
그리고 다음과 같은 명령어도 포함돼 있습니다.
다음 명령을 사용하여 Windows 운영 체제에서 모든 섀도우 볼륨 복사본을 지우도록 설정할 수 있습니다.


vssadmin.exe delete shadows /all /Quiet
즉 사용자가 복구지점을 설정했더라도 해당 복구지점은 사라지니까 아마도 감염이 되면 파일 복구는 성공 확률은 줄어듭니다. 그리고 2018년11월6일에서는 GandCrab 의 유포 스크립트에서 V3 제품 제거와 관련된 코드를 삽입해서 V3를 제거를 시도하지만 V3에서는 V3 Lite Uninstall 프로그램에 캡차 코드 적용이 돼 있고 이로 말미암아서 V3는 더는 삭제가 불가능해지자 V3 제품 Uninstall 기능을 제거한 스크립트의 유포가 되고 있습니다. 즉 창과 방패의 싸움은 계속 되고 있습니다. 이런 랜섬웨어에 감염이 되는 것을 최소화하기 위해서 반드시 윈도우 자동업데이트 와 백신프로그램은 반드시 설치하고 랜섬웨어를 전문적으로 방지해주는 보조 백신프로그램도 설치해 두는 것도 좋은 방법이라고 생각이 됩니다. 이상 간단하게 GANDCRAB v5.0.4 Ransomware(갠드크랩 랜섬웨어 5.0.4)에 대해 적어 보았습니다.


그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band