꿈을꾸는 파랑새

오늘은 카카오톡 사칭하는 갠드크랩 랜섬웨어 5.1(GrandCrab 5.1 ransomware ) 버전 업데이트으로 업데이트가 되었다는 소식입니다.
일단 GrandCrab 5.1 ransomware(갠드크랩 랜섬웨어 5.1)은 지난 5.0.4 버전에서 업데이트가 된 버전입니다. 일단 한국에서 가장 잘하는 랜섬웨어는 아마도 갠드크랩 랜섬웨어가 아닐까 생각이 됩니다. 해당 랜섬웨어는 [희생자 ID] -DECRYPT.txt 파일과 변경된 바탕 화면 배경 무늬에 데이터를 암호화하고 몸값을 표시하는 랜섬웨어 입니다.

그리고 생성된 텍스트 파일은 모든 기존 폴더에 저장되며 고유한 피해자의 ID인 새 확장자를 추가하여 모든 암호화 된 파일의 이름을 바꾸는 특성이 있습니다.
이번 갠드크랩 랜섬웨어 5.1(GrandCrab 5.1 ransomware )에서는 감염이 되고 나서는 C2 주소가 kakaocorp.link(카카오 톡 사칭) 페이지가 추가되는 것이 특징입니다. 즉 한국에서 가장 사용하는 메시지인 카카오톡을 사칭을 하고 있습니다. 해당 사이트를 보면 정말로 카카오톡을 다운로드 하는 페이지인 것처럼 위장하고 있습니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

[소프트웨어 팁/보안] - GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4) 감염 증상

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치 발견

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어(GandCrab Rnsomware) 버전 4.1.3 킬스위치

[소프트웨어 팁/보안] - 갠드크랩랜섬웨어 V5(GANDCRAB V5 Ransomware) 업데이트

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어(GandCrab Ransomware v1,v4,v5)복구 도구 Bitdefender GandCrab Decryptor

[소프트웨어 팁/보안] - GANDCRAB v5.0.4 Ransomware(갠드크랩 랜섬웨어 5.0.4) 감염 및 증상

[소프트웨어 팁/보안] - GANDCRAB ransomware v5.0.9(갠드크랩 랜섬웨어 버전 5.0.9) 감염 및 증상

Grand Crab 5.1 ransomware에 의해 변경된 바탕 화면 배경에서 언급했듯이 피해자의 파일은 강력한 암호화 알고리즘을 사용하여 암호화했다는 바탕화면을 볼 수가 있습니다. 이번에 변종이 된 갠드크랩 랜섬웨어은 이제는 다르게 파일을 복원하려면 파일을 업로드를 해야 한다는 것이 특징을 보이고 있습니다.

그리고 GrandCrab 5.1감 염에 된 사용자는 Tor 브라우저를 다운로드 한 다음 그리고 해당 랜섬노트에 있는 링크를 열어야 하며. 먼저 -DECRYPT.txt 또는 -DECRYPT.html 파일에 인증된 웹사이트로 해당 파일을 올리는 방식을 사용하고 있습니다. 그리고 암호화된 파일을 해독키는 대략 1,200달러로 가격은 만만하지 않습니다.


그리고 결제가 지정된 날짜와 시간 (웹 사이트 상단에서 확인할 수 있음)까지 완료되지 않으면 가격이 두 배가 되는 것이 특징입니다. 한마디로 랜섬웨어에 감염이 된 사용자에게 결제를 요구하는 방식을 따르고 있습니다.

지급 방식은 가상화폐인 Bitcoin 또는 DASH로 지급을 요구하는 것이 특징입니다.


그리고 해당 갠드크랩 랜섬웨어 노트 내용은 다음과 같습니다.

---= GANDCRAB V5.1 =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HJNAKLIQ
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
 The server with your key is in a closed network TOR. You can get there by the following ways:
---------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/XXXXXXXXXXXXXXXXXXXX
| 4. Follow the instructions on this page
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
 ******
---END GANDCRAB KEY---
---BEGIN PC DATA---
 ******
---END PC DATA---

입니다. 그리고 GrandCrab 5.1의 바탕 화면 배경 화면의 내용은 다음과 같습니다.

ENCRYPTED BY GANDCRAB 5.1
DEAR [사용자 이름]
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR
For further steps read [희생자 ID]-DECRYPT.txt that is located in every encrypted folder

가 표시가 됩니다.
그리고 보면 스펀지 밥에서 나오는 캐릭터인 Eugene H.Krabs(유진 집게)가 나옵니다.

그리고 한국에서는 해당 부분을 이메일에서는 yoomjiin@damoadesigin.com로 첨부 파일에는 포트폴리오_유지인.jpg 와 1. 지원서(윤지인).doc 첨부가 되고 실행이 되는 방식입니다.

일단 기본적으로 이런 랜섬웨어는 윈도우 업데이트 만 잘해도 걸리할 확률은 떨어집니다.

대부분 옛날에 있었던 보안 취약점을 악용하고 있으면 그리고 토렌트 같은 곳에서 프로그램 및 영화 다운로드를 해서 보는 것은 랜섬웨어 같은 악성코드에 걸린 것에 확률이 높아집니다. 랜섬웨어 방어 프로그램을 설치해서 사용하는 것이 중요하지만, 기본적인 컴퓨터 보안 수칙을 지키면 이런 악성코드에 감염되는 것을 최소화할 수가 있습니다.

글 공유하기 및 아이허브 추천 코드

페이스북
트위터
네이버
밴드
카톡
카스

댓글 보기

  1. Favicon of https://bubleprice.net 버블프라이스 2019.01.20 07:17 신고

    갠드크랩 랜섬웨어 에 대해 알고갑니다^^
    좋은 주말 보내시길 바래요

  2. Favicon of https://dragonphoto.tistory.com 드래곤포토 2019.01.20 23:34 신고

    다녀갑니다. ^^

  3. Favicon of https://jongamk.tistory.com 핑구야 날자 2019.01.21 06:47 신고

    조심해야 할 것 같네요 덕분에 잘 알고 갑니다

    • Favicon of https://wezard4u.tistory.com Sakai 2019.01.21 17:27 신고

      기본적으로 윈도우 업데이트만 잘해도 이런 랜섬웨어에 걸릴 확률은 줄어듭니다.

  4. Favicon of https://xuronghao.tistory.com 공수래공수거 2019.01.21 08:31 신고

    자주 사용하는 카카오톡 사칭이라니 알아 두어야겠군요.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.01.21 17:28 신고

      어차피 악성코드 제작자 들은 많은 사람들이 사용을 하는것을 악용을 합니다.

  5. Favicon of https://prolite.tistory.com IT세레스 2019.01.21 22:16 신고

    카카오톡을 사칭한다니 이거 무섭네요.

    • Favicon of https://wezard4u.tistory.com Sakai 2019.01.22 18:19 신고

      한국 대중들에게 익숙한것이 카카오톡이니까 해당 부분을 사칭을 하는것 같습니다.

  6. Favicon of https://www.neoearly.net 라디오키즈 2019.01.22 09:44 신고

    역시 보안 업데이트를 철저하게~~
    -_- 사악한 악당들 같으니...

    • Favicon of https://wezard4u.tistory.com Sakai 2019.01.22 18:20 신고

      네~기본적으로 보안 업데이트를 해도 해당 취약점은 사라지기 떄문에 해당 랜섬웨어가 다운로드가 되더라도 실행이 되지 않죠.나머지는 백신프로그램들이 알아서 처리 합니다.

  7. Favicon of https://roan-junga.tistory.com 로안씨 2019.01.22 17:06 신고

    참으로 큰회사가 되면 이런일이 생기는군요... 참으로 세상에는 나쁜 사람들이 많습니다... 좋은게 있으면 그걸로 어떻게서든 악용을 해서 돈을 벌려고 하니깐요 좋은 정보 알려주셔서 감사합니다

    • Favicon of https://wezard4u.tistory.com Sakai 2019.01.22 18:21 신고

      갠드크랩은 러시아쪽에서 만든 랜섬웨어로 알고 있습니다.그리고 일부 변경을 해서 한국 환경에 맞게 변경이 된것 같습니다.

TOP