분석 정보/랜섬웨어 분석 정보

진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정

TACHYON & ISARC 2018. 5. 21. 10:45

진화하는 GandCrab 랜섬웨어, 초기 버전부터 변화과정



1. 개요 


최근 입사지원서나 교통범칙금으로 위장한 랜섬웨어가 대규모로 유포 되어 이용자들의 피해가 속출하고 있다. 악성 URL 링크를 첨부하고 악성 압축파일을 내려 받도록 유도하는 방식이다. 내려 받은 악성파일에는 자바스크립트(*.js) 파일이 포함되어 있으며, 이 파일을 실행하면 자동으로 랜섬웨어가 사용자 PC에 설치된다. 이 랜섬웨어는 갠드크랩(GandCrab) 이며, 2018년 2월 처음 발견된 후 버전업을 통해 유포 방식부터 감염 방식까지 진화 중 이다.


이번 보고서에는 GandCrab 랜섬웨어의 초기 버전부터 3.0버전까지의 변화된 내용에 대해서 간략하게 알아보고자 한다.






2. 분석 정보


2-1. GandCrab 랜섬웨어의 변화

 

구분

특징

시기

초기 버전

 암호화 확장자명(.GDCB), 400개 확장자 암호화, 웹사이트 방문 시 감염

201802

2.0 버전

 암호화 확장자명 변경 (.CRAB), 40개 확장자 제외 모든 파일 암호화

201803

2.1버전

 암호화 완료 시 재부팅, 이메일로 지원서를 위장한 압축첨부파일 형태로 유포

201804

3.0버전

 이메일로 악성 URL 링크를 첨부한 형태로 유포

201805

[1] GandCrab 랜섬웨어 초기 버전부터 3.0 버전까지 변화





2-2. GandCrab 이전 버전 분석 정보

GandCrab3.0 버전을 이전 버전과 비교했을 때 종료하는 프로세스 목록이나 수집 정보 목록 등 몇 가지 부분은 동일하다. 이 부분에 대해서는 아래 링크 주소를 따라가면 기존에 잉카인터넷 공식 블로그에서 분석한 이전 버전 분석보고서를 참고 할 수 있다.


다시 돌아온 GandCrab Ransomware 감염 주의 : http://erteam.nprotect.com/1623

버전업 되어 유포되고 있는 ‘GandCrab Ransomware’ 감염 주의 : http://erteam.nprotect.com/1661





2-3. GandCrab3.0 에서 달라진 점

GandCrab 랜섬웨어가 진화하면서 유포 방식에 조금씩 변화가 있었다. 이전 버전에서는 이메일을 통해 첨부된 파일을 실행하도록 유도하는 방식이었다면, 3.0 버전에서는 압축파일을 첨부하지 않고 이메일 본문의 ‘이력서를 첨부하였습니다.’ 부분에 악성 URL 링크를 연결시켜 클릭을 유도하고, 이 주소를 따라가보면 지원자 명의 압축파일을 다운로드 한다.


[그림 1] 악성 메일 유포[그림 1] 악성 메일 유포



다운로드 된 압축파일 내부에는 이력서로 위장한 스크립트 파일(resume.js)이 존재한다.


[그림 2] 다운로드 된 압축파일[그림 2] 다운로드 된 압축파일



이 스크립트는 난독화 되어 있어 아래 [그림 3]과 같이 알아 볼 수 없는 문자열로 보인다. 이 악성 스크립트 파일을 실행할 경우 랜섬웨어 유포 페이지에 접속해 랜섬웨어를 다운로드 후 실행한다.


[그림 3] 난독화 된 악성 스크립트 파일[그림 3] 난독화 된 악성 스크립트 파일





2-4. 초기 버전과 3.0 버전의 비교

GandCrab의 초기 버전과 3.0 버전의 랜섬노트는 랜섬노트명과 버전의 차이, 그리고 안내문의 일부 내용이 바뀌었을 뿐 Tor 웹 브라우저를 이용하여 지불 사이트로 유도하는 내용은 대체로 유사하다.


[그림 4] GandCrab 초기 버전 랜섬노트[그림 4] GandCrab 초기 버전 랜섬노트



[그림 5] GandCrab 3.0버전 랜섬 노트[그림 5] GandCrab 3.0버전 랜섬 노트



 

 

초기 GandCrab

GandCrab3.0

공통점

특정 프로세스 종료 (msftesql.exe, sqlagent.exe 30개 이상 프로세스 종료)

자동 실행 레지스트리 등록

(HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce)

사용자 정보 수집 (PC_USER, ip), 프로세스 정보 수집 (AVP.EXE, ekrn.exe)

차이점

유포 경로

Exploit Kit에 의해

취약한 웹사이트에 방문 시 감염

입사지원서나 교통범칙금으로

위장한 이메일로 유포

암호화 대상 파일 확장자

txt, doc, zip, xls, jpg

450개 확장자 암호화

exe, dll, lnk, ldf, CRAB

40개 확장자를 제외하고 모두 암호화

암호화 제외 파일명

desktop.ini, autorun.inf,

GDCB-DECRYPT.txt 등 총 9

랜섬 노트(CRAB-DECRYPT.txt) 를 제외하고 동일

암호화 제외 폴더

\ProgramData\,  \Program Files\ 등 총 7

\IETldCache\,  \Boot\ 추가

기타

 

암호화 완료 시 재부팅,

이동식 드라이브(USB) 감염

[2] GandCrab 랜섬웨어 초기 버전과 3.0 버전의 비교






3. 결론

최근 유포되고 있는 GandCrab 랜섬웨어는 주로 입사지원서나 교통범칙금으로 위장해 이메일로 유포되므로 발신지가 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 6] TACHYON Internet Security 5.0 랜섬웨어 차단 기능