GANDCRAB ransomware v5.0.9(갠드크랩 랜섬웨어 버전 5.0.9) 감염 및 증상

오늘은 간단하게 GANDCRAB ransomware v5.0.9(갠드크랩 랜섬웨어 버전 5.0.9) 감염 및 증상에 대해 알아보겠습니다.

일단 갠드크랩 랜섬웨어는 기본적으로 국내 백신프로그램 중 하나인 안랩을 싫어하기로 유명해서 항상 안랩을 제거를 시도하는 랜섬웨어로 많은 변화를 가져온 랜섬웨어 중 하나입니다.
일단 해당 랜섬웨어는 Dash(대쉬)라는 암호화 화폐를 요구하면 해당 랜섬웨어 변종은 Marcelo Rivero에 의해 발견되었으며 악의적인 목적을 가진 사람은 사용자의 파일을 사용할 수 없도록 데이터를 암호화하도록 설계되었습니다.
먼저 해당 랜섬웨어에 감염이 되면 우리는 곧 돌아올 것입니다라(We will become back very soon! )는 메시지를 사용자 화면에 표시하고 일단 다른 랜섬웨어들과 마찬가지로 컴퓨터를 감염을 시키면 다음과 같은 확장자를 암호화를 진행합니다.

.1st, .602, .7z, .7 -zip, .abw, .act, .adoc, .aim, .ans, .apkg, .apt, .arj, .asc, .asc, .ascii, .ase .aty, .awp, .awt, .aww, .cab, .doc, .docb, .docx, .dotm, .gzip, .iso, .lzh, .lzma, .pot, .potm, .potx,. ppam, .pps, .ppsm, .ppsx, .pptm, .pptx, .rar, .sldm, .sldx, .tar, .vbo, .vdi, .vmdk, .vmem, .vmx, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xps, .z, .zip

암호화되는 목록은 위와 같습니다. 그리고 랜섬웨어를 복호화를 하려는 절차를 가르쳐 줍니다.

—= GANDCRAB V5.0.9 =—
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .SPSJHW
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following
ways:
—————————————————————————————–
| 0. Download Tor browser – https://www.torproject.org/
| 1. Install Tor Browser
| 2. Open Tor Browser
| 3. Open link in TOR browser http://gandcrabmfe6mnef.o몰라도 됩니다./몰라도 됩니다.
| 4. Follow the instructions on this page
—————————————————————————————–
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

일단 공짜로 한 개의 파일을 풀어준다고 합니다. 그리고 바탕화면은 빨간색 글자 된 바탕화면을 볼 수가 있습니다.
그리고 사용자가 시스템을 복원하는 것을 방지하기 위해서 시스템복구지점을 삭제를 시도합니다. 그리고 해당 시스템복구지점을 삭제하기 위한 다음 명령어가 실행됩니다.
vssadmin.exe delete shadows /all /Quiet

그러면 사용자의 시스템복구지점이 없어지기 때문에 복구는 사실상 생각을 접어야 합니다.
그리고 해당 악성코드를 만든 사이트를 토르 브라우저를 통해서 접속하면 다음과 같은 화면을 볼 수가 있습니다.

We are sorry, but your files have been encrypted!
Don’t worry, we can help you to return all of your files!
Files decryptor’s price is 2400 USD
If payment isn’t made until XXXX-XX-XXUTC the cost of decrypting files will be doubled
Amount was doubled!
Time left to double price:
—————————————————————————————–
What the matter? Buy GandCrab Decryptor Support is XX/X Test decrypt
—————————————————————————————–
Please turn on javascript!!
What the matter?
Your computer has been infected with GandCrab Ransomware. Your files have been encrypted and you can’t decrypt it by yourself.
In the network, you can probably find decryptors and third-party software, but it won’t help you and it only can make your files undecryptable
What can I do to get my files back?
You should buy GandCrab Decryptor. This software will help you to decrypt all of your encrypted files and remove GandCrab Ransomware from your PC.
Current price: $2,400.00. As payment, you need cryptocurrency DASH or Bitcoin
What guarantees can you give to me?
You can use test decryption and decrypt 1 file for free
What is cryptocurrency and how can I purchase GandCrab Decryptor?
You can read more details about cryptocurrency at Google or here.
As payment, you have to buy DASH or Bitcoin using a credit card, and send coins to our address.
How can I pay to you?
You have to buy Bitcoin or DASH using a credit card. Links to services where you can do it: Dash exchanges list, Bitcoin exchanges list
After it, go to our payment page Buy GandCrab Decryptor, choose your payment method and follow the instructions

이라는 메시지를 볼 수가 있는데 일단 보면 대쉬(DASH)와 비트코인(Bitcoin)를 요구를 하는 것을 볼 수가 있습니다. 물론 돈을 입금한다고 해도 파일은 복구된다는 보장이 없습니다. 즉 일단 이런 악성코드에 감염되는 것을 최소화하려면 기본적으로 백신프로그램,윈도우 업데이트는 기본적으로 해야 하며 자신이 사용하는 프로그램은 기본적으로 최신업데이트를 해야 합니다. 해당 방법이 기본적으로 해당 악성코드로부터 여러분의 소중한 추억과 그리고 파일들을 보호할 수가 있습니다. 즉 뉴스 같은 데에서 랜섬웨어 유행을 하고 있으니 윈도우 업데이트 하라고 할 때에는 이미 해당 랜섬웨어가 이용을 하는 취약점은 보안 업데이트가 되었거나 해당 부분이 심각해서 긴급업데이트를 진행을 했거나 아니면 해당 부분에 공지를 통해서 해당 부분에 대응하라고 공지하고입니다. 미리 예방을 하는 것이 좋은 방법이고 랜섬웨어방어프로그램 또는 보조백신프로그램을 설치를 해서 사용을 하는 것도 좋은 방법일 것입니다.