분석 정보/랜섬웨어 분석 정보

다시 돌아온 GandCrab Ransomware 감염 주의

TACHYON & ISARC 2018. 4. 6. 14:27

다시 돌아온 GandCrab Ransomware 감염 주의


1. 개요 


'GandCrab Ransomware' 는 ‘Exploit Kit’을 통해 취약한 웹사이트에 방문했을 때 감염된다고 알려져 있다.

해당 랜섬웨어에 감염이 되면, 사용자의 정보를 수집하여 전송하고 감염 대상이 되는 파일 확장자를 비교하여 암호화 동작을 수행한다.


하지만, 최근에 발견 된 'GandCrab Ransomware V2.0' 는 이메일을 통하여 유포되고 있는 것으로 보이며 기존 버전과 큰 차이는 없지만 감염 대상이 되는 확장자를 따로 구분없이 모든 파일에 대해 암호화 동작을 수행하는 것으로 확인된다.


이번 보고서에서는 버전업이 되어 돌아온 'GandCrab Ransomware V2.0' 에 대해서 간략하게 알아보자.






2. 분석 정보


2-1. 파일 정보

구분

내용

파일명

[임의의 파일명].exe

파일크기

137,220 byte

진단명

Ransom/W32.GandCrab.137220

악성동작

파일 암호화





2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만 해당 랜섬웨어는 이메일을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정된다.






2-3. 실행 과정

'GandCrab Ransomware V2.0' 원본파일을 실행하면 특정 프로세스를 탐색하여 종료하고, 사용자 정보와 함께 사용중인 보안프로세스 정보까지 수집하여 정보를 전송한다.

정보 전송 이후 파일 암호화를 수행 하기 위해 공격자가 지정해 둔 폴더 목록, 파일명, 확장자를 제외하고 모든 파일에 대한 암호화를 진행한다.

또한, 암호화 된 폴더에 'CRAB-DECRYPT.txt' 라는 이름의 랜섬노트를 생성하여 파일 복호화 방법에 대해서 설명한다.


[그림 1] 랜섬노트[그림 1] 랜섬노트







3. 악성 동작


3-1. 특정 프로세스 종료

해당 랜섬웨어는 아래와 같은 프로세스 목록과 비교하여 사용자 PC에서 실행되고 있을 경우 종료를 시도한다. 이는 암호화 동작을 수행하기 위해 쓰기 권한을 안전하게 얻으려는 동작으로 보여진다. 


구분

내용

종료 대상 프로세스 목록

msftesql.exe,  sqlagent.exe,  sqlbrowser.exe,  sqlservr.exe,  sqlwriter.exe,  oracle.exe,  ocssd.exe,  dbsnmp.exe,  synctime.exe,  mydesktopqos.exe,  agntsvc.exe,  isqlplussvc.exe,  xfssvccon.exe,  mydesktopservice.exe,  ocautoupds.exe,  agntsvc.exe,  agntsvc.exe,  agntsvc.exe,  encsvc.exe,  firefoxconfig.exe,  tbirdconfig.exe,  ocomm.exe,  mysqld.exe,  mysqld-nt.exe,  mysqld-opt.exe,  dbeng50.exe,  sqbcoreservice.exe,  excel.exe,  infopath.exe,  msaccess.exe,  mspub.exe,  onenote.exe,  outlook.exe,  powerpnt.exe,  steam.exe,  thebat.exe,  thebat64.exe,  thunderbird.exe,  visio.exe,  winword.exe,  wordpad.exe

[1] 종료 프로세스 목록






3-2. 사용자 정보 탈취

해당 랜섬웨어는 파일 암호화 동작 뿐만 아니라 아래와 같이 사용자의 정보 들을 수집한다. 


구분

내용

수집 정보 목록

pc_user=***********

pc_name=***********

pc_group=WORKGROUP&

av=smcexe&

pc_lang=ko-KR&

pc_keyb=0&

os_major=Windows 7 Home Basic&

os_bit=x86&

ransom_id=***********

hdd=C:FIXED_64422408192/9403342848&

id=2&

subid=2&

[2] 수집 정보 목록



또한, [표 3] 에 작성되어 있는 프로세스가 존재하면 해당 정보도 함께 수집하도록 한다. 


구분

내용

프로세스 리스트

AVP.EXE,  ekrn.exe,  avgnt.exe,  ashDisp.exe,  NortonAntiBot.exe,  Mcshield.exe,  avengine.exe,  cmdagent.exe,  smc.exe,  persfw.exe,  pccpfw.exe,  fsguiexe.exe,  cfp.exe,  msmpeng.exe

[3] 수집 대상 프로세스 목록




필요한 정보 수집이 완료되면 인코딩 과정을 거쳐 공격자의 서버로 전송된다.


[그림 2] 정보 전송 패킷[그림 2] 정보 전송 패킷





3-3. 파일 암호화

해당 랜섬웨어는 사용자 PC를 탐색하며 아래에 해당하는 폴더명과 파일에 대해서는 암호화 동작을 수행하지 않는다. 


구분

내용

화이트 리스트

제외 폴더 목록

제외 파일 목록

제외 확장자 목록

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

Ransomware

\All Users\

\Local Settings\

\Windows\

desktop.ini

autorun.inf

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

CRAB-DECRYPT.txt

.ani   .cab   .cpl   .cur

.diagcab   .diagpkg   .dll

.drv   .hlp   .icl   .icns

.ico   .ics   .lnk   .key

.idx   .mod   .mpa   .msc

.msp   .msstyles   .msu

.nomedia   .ocx   .prf

.rom   .rtp   .scr   .shs

.spl   .sys   .theme

.themepack   .exe   .bat

.cmd   .CRAB   .crab

.GDCB   .gdcb   .gandcrab

.yassine_lemmou

[4] 화이트 리스트 목록



'GandCrab Ransomware' 는 암호화가 완료되면 원본 파일명에 '.CRAB' 확장자를 덧붙인다. 아래는 암호화 된 사용자 파일을 보여준다.


[그림 3] 암호화 된 파일[그림 3] 암호화 된 파일






4. 결론

'GandCrab Ransomware' 는 감염을 보다 성공적으로 하기 위해서 유포 방식을 변경하고 있는 것으로 추정된다. 

버전업이 되어 다시 돌아온 만큼, 향후 ’WannaCry’ 나 ‘BadRabbit’ 과 같이 네트워크를 통하여 유포될 가능성도 존재하기 때문에 중요한 문서가 저장되어 있는 PC는 사용에 주의를 기울여 피해가 발생되지 않도록 하여야 한다.

랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부 파일을 함부로 열어보아서는 안되며, 새로 추가 된 윈도우 보안 업데이트를 확인 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V4.0에서 진단 및 치료가 가능하다.

[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면[그림 4] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면