꿈을꾸는 파랑새

오늘은 카카오톡 사칭하는 갠드크랩 랜섬웨어 5.1(GrandCrab 5.1 ransomware ) 버전 업데이트으로 업데이트가 되었다는 소식입니다.
일단 GrandCrab 5.1 ransomware(갠드크랩 랜섬웨어 5.1)은 지난 5.0.4 버전에서 업데이트가 된 버전입니다. 일단 한국에서 가장 잘하는 랜섬웨어는 아마도 갠드크랩 랜섬웨어가 아닐까 생각이 됩니다. 해당 랜섬웨어는 [희생자 ID] -DECRYPT.txt 파일과 변경된 바탕 화면 배경 무늬에 데이터를 암호화하고 몸값을 표시하는 랜섬웨어 입니다.

그리고 생성된 텍스트 파일은 모든 기존 폴더에 저장되며 고유한 피해자의 ID인 새 확장자를 추가하여 모든 암호화 된 파일의 이름을 바꾸는 특성이 있습니다.
이번 갠드크랩 랜섬웨어 5.1(GrandCrab 5.1 ransomware )에서는 감염이 되고 나서는 C2 주소가 kakaocorp.link(카카오 톡 사칭) 페이지가 추가되는 것이 특징입니다. 즉 한국에서 가장 사용하는 메시지인 카카오톡을 사칭을 하고 있습니다. 해당 사이트를 보면 정말로 카카오톡을 다운로드 하는 페이지인 것처럼 위장하고 있습니다.

[소프트웨어 팁/보안] - GandCrab Ransomware v2.1(갠드 크랩 랜섬웨어 버전 2.1)증상과 예방 방법

[소프트웨어 팁/보안] - GandCrab Ransomware 3(갠드 크랩 랜섬웨어 버전 3)감염 증상

[소프트웨어 팁/보안] - GandCrab Ransomware V4(갠드크랩 랜섬웨어 버전 4) 감염 증상

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어 버전 4(GandCrab Ransomware V4) 킬스위치 발견

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어(GandCrab Rnsomware) 버전 4.1.3 킬스위치

[소프트웨어 팁/보안] - 갠드크랩랜섬웨어 V5(GANDCRAB V5 Ransomware) 업데이트

[소프트웨어 팁/보안] - 갠드크랩 랜섬웨어(GandCrab Ransomware v1,v4,v5)복구 도구 Bitdefender GandCrab Decryptor

[소프트웨어 팁/보안] - GANDCRAB v5.0.4 Ransomware(갠드크랩 랜섬웨어 5.0.4) 감염 및 증상

[소프트웨어 팁/보안] - GANDCRAB ransomware v5.0.9(갠드크랩 랜섬웨어 버전 5.0.9) 감염 및 증상

Grand Crab 5.1 ransomware에 의해 변경된 바탕 화면 배경에서 언급했듯이 피해자의 파일은 강력한 암호화 알고리즘을 사용하여 암호화했다는 바탕화면을 볼 수가 있습니다. 이번에 변종이 된 갠드크랩 랜섬웨어은 이제는 다르게 파일을 복원하려면 파일을 업로드를 해야 한다는 것이 특징을 보이고 있습니다.

그리고 GrandCrab 5.1감 염에 된 사용자는 Tor 브라우저를 다운로드 한 다음 그리고 해당 랜섬노트에 있는 링크를 열어야 하며. 먼저 -DECRYPT.txt 또는 -DECRYPT.html 파일에 인증된 웹사이트로 해당 파일을 올리는 방식을 사용하고 있습니다. 그리고 암호화된 파일을 해독키는 대략 1,200달러로 가격은 만만하지 않습니다.


그리고 결제가 지정된 날짜와 시간 (웹 사이트 상단에서 확인할 수 있음)까지 완료되지 않으면 가격이 두 배가 되는 것이 특징입니다. 한마디로 랜섬웨어에 감염이 된 사용자에게 결제를 요구하는 방식을 따르고 있습니다.

지급 방식은 가상화폐인 Bitcoin 또는 DASH로 지급을 요구하는 것이 특징입니다.


그리고 해당 갠드크랩 랜섬웨어 노트 내용은 다음과 같습니다.

---= GANDCRAB V5.1 =---
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .HJNAKLIQ
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
 The server with your key is in a closed network TOR. You can get there by the following ways:
---------------------------------------------------------------------------------------
| 0. Download Tor browser - https://www.torproject.org/
| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/XXXXXXXXXXXXXXXXXXXX
| 4. Follow the instructions on this page
----------------------------------------------------------------------------------------
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
ATTENTION!
IN ORDER TO PREVENT DATA DAMAGE:
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW
---BEGIN GANDCRAB KEY---
 ******
---END GANDCRAB KEY---
---BEGIN PC DATA---
 ******
---END PC DATA---

입니다. 그리고 GrandCrab 5.1의 바탕 화면 배경 화면의 내용은 다음과 같습니다.

ENCRYPTED BY GANDCRAB 5.1
DEAR [사용자 이름]
YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DECRYPTOR
For further steps read [희생자 ID]-DECRYPT.txt that is located in every encrypted folder

가 표시가 됩니다.
그리고 보면 스펀지 밥에서 나오는 캐릭터인 Eugene H.Krabs(유진 집게)가 나옵니다.

그리고 한국에서는 해당 부분을 이메일에서는 yoomjiin@damoadesigin.com로 첨부 파일에는 포트폴리오_유지인.jpg 와 1. 지원서(윤지인).doc 첨부가 되고 실행이 되는 방식입니다.

일단 기본적으로 이런 랜섬웨어는 윈도우 업데이트 만 잘해도 걸리할 확률은 떨어집니다.

대부분 옛날에 있었던 보안 취약점을 악용하고 있으면 그리고 토렌트 같은 곳에서 프로그램 및 영화 다운로드를 해서 보는 것은 랜섬웨어 같은 악성코드에 걸린 것에 확률이 높아집니다. 랜섬웨어 방어 프로그램을 설치해서 사용하는 것이 중요하지만, 기본적인 컴퓨터 보안 수칙을 지키면 이런 악성코드에 감염되는 것을 최소화할 수가 있습니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band