진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정



1. 개요 


최근 입사지원서나 교통범칙금으로 위장한 랜섬웨어가 대규모로 유포 되어 이용자들의 피해가 속출하고 있다. 악성 URL 링크를 첨부하고 악성 압축파일을 내려 받도록 유도하는 방식이다. 내려 받은 악성파일에는 자바스크립트(*.js) 파일이 포함되어 있으며, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이 랜섬웨어는 갠드크랩(GandCrab) 이며, 2018년 2월 처음 발견된 후 버전업을 통해 유포 방식부터 감염 방식까지 진화 중 이다.


이번 보고서에는 GandCrab 랜섬웨어의 초기 버전부터 3.0버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. GandCrab 랜섬웨어의 변화

 

구분

특징

시기

초기 버전

 암호화 확장자명(.GDCB), 400개 확장자 암호화, 웹사이트 방문 시 감염

201802

2.0 버전

 암호화 확장자명 변경 (.CRAB), 40개 확장자 제외 모든 파일 암호화

201803

2.1버전

 암호화 완료 시 재부팅, 이메일로 지원서를 위장한 압축첨부파일 형태로 유포

201804

3.0버전

 이메일로 악성 URL 링크를 첨부한 형태로 유포

201805

[1] GandCrab 랜섬웨어 초기 버전부터 3.0 버전까지 변화





2-2. GandCrab 이전 버전 분석 정보

GandCrab3.0 버전을 이전 버전과 비교했을 때 종료하는 프로세스 목록이나 수집 정보 목록 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 이전 버전 분석보고서를 참고 할 수 있다.


다시 돌아온 GandCrab Ransomware 감염 주의 : http://erteam.nprotect.com/1623

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 : http://erteam.nprotect.com/1661





2-3. GandCrab3.0 에서 달라진 점

GandCrab 랜섬웨어가 진화하면서 유포 방식에 조금씩 변화가 있었다. 이전 버전에서는 이메일을 통해 첨부된 파일을 실행하도록 유도하는 방식이었다면, 3.0 버전에서는 압축파일을 첨부하지 않고 이메일 본문의 ‘이력서를 첨부하였습니다.’ 부분에 악성 URL 링크를 연결시켜 클릭을 유도하고, 이 주소를 따라가보면 지원자 명의 압축파일을 다운로드 한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포



다운로드 된 압축파일 내부에는 이력서로 위장한 스크립트 파일(resume.js)이 존재한다.


[그림 2] 다운로드 된 압축파일[그림 2] 다운로드 된 압축파일



이 스크립트는 난독화 되어 있어 아래 [그림 3]과 같이 알아 볼 수 없는 문자열로 보인다. 이 악성 스크립트 파일을 실행할 경우 랜섬웨어 유포 페이지에 접속해 랜섬웨어를 다운로드 후 실행한다.


[그림 3] 난독화 된 악성 스크립트 파일[그림 3] 난독화 된 악성 스크립트 파일





2-4. 초기 버전과 3.0 버전의 비교

GandCrab의 초기 버전과 3.0 버전의 랜섬노트는 랜섬노트명과 버전의 차이, 그리고 안내문의 일부 내용이 바뀌었을 뿐 Tor 웹 브라우저를 이용하여 지불 사이트로 유도하는 내용은 대체로 유사하다.


[그림 4] GandCrab 초기 버전 랜섬노트[그림 4] GandCrab 초기 버전 랜섬노트



[그림 5] GandCrab 3.0버전 랜섬 노트[그림 5] GandCrab 3.0버전 랜섬 노트



 

 

초기 GandCrab

GandCrab3.0

공통점

특정 프로세스 종료 (msftesql.exe, sqlagent.exe 30개 이상 프로세스 종료)

자동 실행 레지스트리 등록

(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce)

사용자 정보 수집 (PC_USER, ip), 프로세스 정보 수집 (AVP.EXE, ekrn.exe)

차이점

유포 경로

Exploit Kit에 의해

취약한 웹사이트에 방문 시 감염

입사지원서나 교통범칙금으로

위장한 이메일로 유포

암호화 대상 파일 확장자

txt, doc, zip, xls, jpg

450개 확장자 암호화

exe, dll, lnk, ldf, CRAB

40개 확장자를 제외하고 모두 암호화

암호화 제외 파일명

desktop.ini, autorun.inf,

GDCB-DECRYPT.txt 등 총 9

랜섬 노트(CRAB-DECRYPT.txt) 를 제외하고 동일

암호화 제외 폴더

\ProgramData\,  \Program Files\ 등 총 7

\IETldCache\,  \Boot\ 추가

기타

 

암호화 완료 시 재부팅,

이동식 드라이브(USB) 감염

[2] GandCrab 랜섬웨어 초기 버전과 3.0 버전의 비교






3. 결론

최근 유포되고 있는 GandCrab 랜섬웨어는 주로 입사지원서나 교통범칙금으로 위장해 이메일로 유포되므로 발신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능









Posted by nProtect & TACHYON

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 


1. 개요 


최근 취약점 등을 이용해 유포되던 ‘GandCrab Ransomware’가 버전업 되어 악성 메일로 유포 되고 있어 사용자들의 주의를 요한다. 사용자의 실행을 유도하는 악성 메일로 활발히 유포가 되고 있는 ‘GandCrab Ransomware’를 이번 보고서에서 알아보고자 한다.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

41,472bytes

진단명

Ransom/W32.GandCrab.208904

악성동작

파일 암호화





2-2. 유포 경로

기존 GandCrab 랜섬웨어 2.0와 유사하게 악성 메일로 유포되고 있으며, ‘=지원서=’, ‘입사지원서’ 라는 제목으로 유포되어 첨부파일 실행을 유도한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포




압축된 첨부파일에는 문서 파일과 그림파일로 위장하는 LNK파일이 있으며, 해당 LNK 파일을 실행 시 ‘James.exe’라는 악성 파일이 실행된다. 해당 파일은 숨김 속성으로 되어 있다.


[그림 2] 이메일 첨부파일[그림 2] 이메일 첨부파일





2-3. 실행 과정

해당 랜섬웨어 실행 시, 사용자의 파일을 암호화하고 암호화한 파일 이름 뒤에는 ‘.CRAB’ 라는 확장자를 덧붙인다. 또한 암호화 된 폴더에 ‘CRAB-DECRYPT.txt’이라는 랜섬노트를 생성한다. 아래와 같이 ‘CRAB-DECRYPT.txt’에서 버전이 v2.1로 바뀐 것을 확인 할 수 있다.


[그림 3] GandCrab v2.1랜섬노트 (txt파일)[그림 3] GandCrab v2.1랜섬노트 (txt파일)




생성된 텍스트 파일의 내용중 Tor 웹 브라우저를 이용하여 개인 ID로 구성된 특성 URL 주소로 접속을 안내한다. 연결된 지불 페이지에서 암호 화폐인DASH와 Bitcoin을 요구하고 있으며, 정해진 기간이 경과 할 시 2배의 가격을 요구한다.


[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)[그림 4] GandCrab v2.1랜섬노트 (Tor웹 브라우저)



[그림 5] 기간 경과 시 2배의 가격 요구[그림 5] 기간 경과 시 2배의 가격 요구






3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 2.0 버전과 마찬가지로 아래 [표 1]와 같이 종료 대상 프로세스를 비교하며, 사용자의 PC에서 해당 프로세스가 실행되고 있을 시 종료 한다. 


 

구분

내용

종료 대상 프로세스 목록

‘msftesql.exe’, ‘sqlagent.exe’, ‘sqlbrowser.exe’, ‘sqlservr.exe’, ‘sqlwriter.exe’, oracle.exe’, ocssd.exe’, dbsnmp.exe’, synctime.exe’, mydesktopqos.exe’, agntsvc.exeisqlplussvc.exe’, xfssvccon.exe’, mydesktopservice.exe’, ocautoupds.exe’, agntsvc.exeagntsvc.exe’, agntsvc.exeencsvc.exe’, firefoxconfig.exe’, tbirdconfig.exe’, ocomm.exe’, mysqld.exe’, dbeng50.exe’, sqbcoreservice.exe’, excel.exe’, infopath.exe’, msaccess.exe’, mspub.exe’, onenote.exe’, outlook.exe’, powerpnt.exe’, steam.exe’, sqlservr.exe’, thebat.exe’, thebat64.exe’, thunderbird.exe’, visio.exe’, winword.exe’, wordpad.exe’, mysqld-nt.exe’, mysqld-opt.exe’

[1] 종료 대상 프로세스 목록





3-2. 자동 실행 레지스트리 등록

해당 랜섬웨어 실행 시 ‘C:\Users\[사용자 계정\AppData\Roaming\Microsoft 하위에 [임의의 파일명.exe]’로 자신을 복제하며, 재부팅 시에도 자동 실행이 되기 위해 레지스트리에 등록한다.


[그림 6] 자동 실행 레지스트리 등록[그림 6] 자동 실행 레지스트리 등록






3-3. 화이트 리스트 목록

해당 랜섬웨어는 파일 암호화 시 암호화를 제외하는 화이트 리스트가 존재한다. 아래와 같은 경로 및 파일명 그리고 특정 확장자는 암호화에서 제외한다. 해당 목록은 기존 버전과 동일하다. 

 

구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[2] 화이트리스트 목록





3-4. 이동식 드라이브 감염

해당 랜섬웨어는 이동식 드라이브를 검색하여 감염 동작을 수행한다.


[그림 7] 이동식 드라이브 감염[그림 7] 이동식 드라이브 감염






3-5. 암호화 완료 시 재부팅

해당 랜섬웨어는 파일 암호화가 완료된 뒤 시스템을 강제종료 하고 재부팅 한다. 


[그림 8] 암호화 완료 시 재부팅[그림 8] 암호화 완료 시 재부팅






4. 결론

최근 'GandCrab Ransomware' 는 2.0 버전이 유포 된지 얼마 되지 않아 2.1로 버전업 되어 악성 메일로 활발히 유포 되고 있다. 활발히 유포 되고 있는 만큼 랜섬웨어의 피해를 최소한으로 예방하기 위해 수신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면







Posted by nProtect & TACHYON