분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]GandCrab 랜섬웨어 5.2 버전 출현!, 초기 버전부터 변화과정

TACHYON & ISARC 2019. 4. 9. 15:47

GandCrab 랜섬웨어 5.2 버전 출현!, 초기 버전부터 변화과정

1. 개요

현재 일반 사용자와 국내기업을 대상으로 랜섬웨어 공격이 다수 발견되고 있으며, 최근에는 버전 5.2로 업데이트된 GandCrab 랜섬웨어의 공격이 빠르게 증가하고 있다. 해당 랜섬웨어는 정확한 한국어 사용과 공신력 있는 기관을 사칭하여 사용자로 하여금 악성파일을 실행시키도록 위장하고 있기 때문에 각별한 주의가 필요하다.

 

이번 보고서에서는 GandCrab 랜섬웨어의 초기 버전부터 최근 버전까지의 변화 사항에 대해서 간략하게 알아보고자 한다.

 

 


2. 버전 별 변화

2-1. 타임라인

작년 1월에 등장한 GandCrab 랜섬웨어는 지속적인 업데이트를 통해 꾸준히 변화해오고 있으며, 최근에는 5.2 버전까지 발견되고 있다. 먼저 아래의 [표 1]의 타임라인을 통해 버전 별 발견 시기를 확인해 보고자 한다.

 

구분 GandCrab v1 GandCrab v2 GandCrab v3 GandCrab v4 GandCrab v5
발견 시기 2018.01 2018.03 2018.05 2018.07 2018.09
‘19년 2월 v5.2 발견

[표 1] GandCrab 랜섬웨어 타임라인

 


2-2. 감염 파일 확장자

GandCrab 랜섬웨어는 최초 발견 이후 다양한 변화 사항을 확인할 수 있는데, 첫 번째로 감염 파일 확장자의 변화이다. GandCrab v1에서는 .GDCB, v2와 v3은 .CRAB으로 변경, v4에서는 .KRAB으로 변경된 것을 확인할 수 있다. 최근 v5에서 큰 변화 점이 발견되는데, 기존처럼 정해진 확장자명이 아닌 임의의 확장자명을 생성하여 감염 파일 확장자명으로 사용하고 있는 것을 [그림 1]과 같이 확인할 수 있다.

 

[그림 1] v5.2 감염 파일 확장자

 

 

2-3. 암호화 대상

두 번째, 암호화 대상 확장자의 변화이다. 초기 버전에서는 수백 개의 암호화 대상 확장자를 이용하여 파일을 암호화 시켰지만, GandCrab v2부터 현재 버전까지는 기존의 암호화 대상 확장자와 함께 암호화 제외 대상 확장자를 추가하여, 암호화 대상과 제외 대상 파일을 구별하는 것이 특징이다. 최근에는 [표 2]처럼 .hwp 확장자가 추가되어 감염 대상에 포함된 것을 확인할 수 있다.

구분 내용
암호화 제외 확장자 .ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .lock, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk,
.key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr,
.shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .gandcrab, .KRAB, .CRAB, [임의의 감염 파일 확장자], .zerophage_i_like_your_pictures
암호화 대상 확장자 .rar, .zip, .cab, .arj, .lzh, .tar, .7z, .gzip, .iso, .z, .7-.zip, .lzma, .vmx, .vmdk, .vmem, .vdi,
.vbox, .1st, .602, .docb, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt,
.pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .xps, .xls, .xlt,
._doc, .dotm, ._docx, .abw, .act, .adoc, .aim, .ans, .apkg, .apt, .asc, .asc, .ascii, .ase,
.aty, .awp, .awt, .aww, .bad, .bbs, .bdp, .bdr, .bean, .bib, .bib, .bibtex, .bml, .bna, .boc,
.brx, .btd, .bzabw, .calca, .charset, .chart, .chord, .cnm, .cod, .crwl, .cws, .cyi, .dca, .dfti,
.dgs, .diz, .dne, .dot, .doc, .docm, .dotx, .docx, .docxml, .docz, .dox, .dropbox, .dsc, .dvi,
.dwd, .dx, .dxb, .dxp, .eio, .eit, .emf, .eml, .emlx, .emulecollection, .epp, .err, .etf, .etx,
.euc, .fadein, .template, .faq, .fbl, .fcf, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fft, .fgs, .flr, .fodt,
.fountain, .fpt, .frt, .fwd, .fwdn, .gmd, .gpd, .gpn, .gsd, .gthr, .gv, .hbk, .hht, .hs,  .hwp,
.hz, .idx, .iil, .ipf, .ipspot, .jarvis, .jis, .jnp, .joe, .jp1, .jrtf, .jtd, .kes, .klg, .klg, .knt,
.kon, .kwd, .latex, .lbt, .lis, .lnt, .log, .lp2, .lst, .lst, .ltr, .ltx, .lue, .luf, .lwp, .lxfml, .lyt, .lyx,
.man, .mbox, .mcw, .md5, .me, .mell, .mellel, .min, .mnt, .msg, .mw, .mwd, .mwp, .nb,
.ndoc, .nfo, .ngloss, .njx, .note, .notes, .now, .nwctxt, .nwm, .nwp, .ocr, .odif, .odm,
.odo, .odt, .ofl, .opeico, .openbsd, .ort, .ott, .p7s, .pages, .pages-tef, .pdpcmd, .pfx, .pjt,
.plain, .plantuml, .pmo, .prt, .prt, .psw, .pu, .pvj, .pvm, .pwd, .pwdp, .pwdpl, .pwi, .pwr,
.qdl, .qpf, .rad, .readme, .rft, .ris, .rpt, .rst, .rtd, .rtf, .rtfd, .rtx, .run, .rvf, .rzk, .rzn, .saf,
.safetext, .sam, .sam, .save, .scc, .scm, .scriv, .scrivx, .sct, .scw, .sdm, .sdoc, .sdw, .se,
.session, .sgm, .sig, .skcard, .sla, .sla, .gz, .smf, .sms, .ssa, .story, .strings, .stw, .sty,
.sublime-project, .sublime-workspace, .sxg, .sxw, .tab, .tab, .tdf, .tdf, .template, tex,.text
.textclipping, .thp, .tlb, .tm, .tmd, .tmdx, .tmv, .tmvx, .tpc, .trelby, .tvj, .txt, .u3i, .unauth,
.unx, .uof, .uot, .upd, .utf8, .utxt, .vct, .vnt, .vw, .wbk, .webdoc, .wn, .wp, .wp4, .wp5,
.wp6, .wp7, .wpa, .wpd, .wpd, .wpd, .wpl, .wps, .wps, .wpt, .wpt, .wpw, .wri, .wsd, .wtt,
.wtx, .xbdoc, .xbplate, .xdl, .xdl, .xwp, .xwp, .xwp, .xy, .xy3, .xyp, .xyw, .zabw, .zrtf, .zw

[표 2] 암호화 대상/제외 확장자


2-4. 알고리즘의 변화

세 번째, 암호화 알고리즘의 변화이다. 초기 버전부터 GandCrab v3까지는 RSA와 AES 알고리즘을 사용하였지만, GandCrab v4 부터 최근 버전까지는 RSA와 Salsa20 알고리즘으로 변경되었음을 확인할 수 있다.

 


2-5. 바탕화면 변경

마지막, 바탕화면 변경이다. GandCrab 랜섬웨어는 피해자에게 PC의 감염여부를 알리기 위해 바탕화면을 변경하는데, 초기 버전과 GandCrab v2는 해당 동작이 존재하지 않았지만, v3부터는 바탕화면을 변경시키는 동작이 추가되었다. 이후 v4에서 잠시 제외된 후, 최근 v5부터 다시 바탕화면을 변경시키고 있음을 확인할 수 있다.

 

[그림 2] 바탕화면 변경


2-6. 공격자의 대응

위와 같이 GandCrab 랜섬웨어는 버전 별 변화 외에 특이점으로 공격자의 대응을 확인할 수 있다. 공격자는 GandCrab 랜섬웨어의 대응이나 분석 보고서에 민감한 반응을 보이며, 대응 업체나 GandCrab 랜섬웨어를 분석한 분석가에 대한 위협, 경고 메시지를 코드 내에 삽입하고 있다.

 

[그림 3] GandCrab 랜섬웨어 분석가 ‘zerophage’

 


2-7. 초기 버전부터 변화 정리

앞서 알아보았던 GandCrab 랜섬웨어의 변화사항을 아래의 [표 3]에 정리해 보았다. GandCrab 랜섬웨어 공격자들은 자신들의 목적을 이루기 위해 꾸준히 변화하고 있으며, 자신들의 목적을 방해하는 대상에게 위협의 태도를 보이고 있어 GandCrab 랜섬웨어의 대한 경각심을 높여야 한다.

 

구분 GandCrab v1 GandCrab v2 GandCrab v3 GandCrab v4 GandCrab v5
확장자 GDCB CRAB KRAB 임의의 문자
암호화 대상 확장자 대상 / 제외 확장자
알고리즘 RSA - AES RSA – Salsa20
바탕화면 미변경 변경 미변경 변경

[표 3] GandCrab 버전 별 변화

 

버전 별 변화를 통해 GandCrab 랜섬웨어가 지속적으로 변화해오고 있음을 확인하였다. 최근 GandCrab은 버전 5.2로 유포되고 있는데, 해당 버전의 악성코드를 분석하여 어떠한 악성 행위를 하는지 알아보고자 한다.

 

 


3. 분석 정보

3-1. 파일 정보

구분 내용
파일명 [임의의 파일명].exe
파일크키 172,544 bytes
진단명 Ransom/W32.GandCrab.245248.B
악성동작 파일 암호화


3-2. 유포 경로

해당 악성 파일은 경찰서 사칭 이메일에 첨부파일로 유포된 것으로 알려져 있다.

 


3-3. 실행 과정

GandCrab 랜섬웨어 실행 시, 대상이 되는 파일을 찾아 암호화를 진행하며 암호화된 파일의 확장자에 .[임의의 문자]를 덧붙인다. 암호화 동작이 끝나면 암호화된 파일을 복구하지 못하도록 윈도우 볼륨 쉐도우 복사본을 삭제한다. 이후 랜섬노트와 바탕화면 변경을 통해 복호화 방법을 안내한다.

 

 


4. 악성 동작

4-1. 파일 암호화

사용자 PC를 탐색하는 동안 [표 1]의 암호화 제외 대상 확장자와 암호화 대상 확장자 목록을 참조하여 암호화 대상을 결정한다. 암호화된 파일은 확장자가 [임의의 문자]로 바뀌며, 암호화가 완료된 폴더에 [임의의 문자]-MANUAL.txt라는 이름의 랜섬노트가 생성된다.

 

[그림 4] 암호화 이전 파일 내용

 

[그림 5] 암호화 이후 파일 내용

 


4-2. 시스템 복원 지점 삭제

암호화 완료 후에는 “wmic.exe” 을 실행하여 [그림 2]와 같은 명령을 실행한다. 해당 명령은 윈도우 볼륨 쉐도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다..

 

[그림 6] 윈도우 볼륨 쉐도우 복사본 삭제 명령어

 


4-3. 복호화 방법 안내

악성 동작이 끝나면 랜섬노트와 바탕화면 변경을 통해 복호화 방법을 안내한다.

 

[그림 7] 랜섬노트 “임의의 확장자-MANUAL.txt” 파일

 


5. 결론

이번 보고서에서 알아본 'GandCrab' 랜섬웨어는 최근 공신력 있는 기관을 사칭하여 공격을 시도 하기 때문에, 이메일을 사용함에 있어 각별한 주의가 필요하다. 랜섬웨어의 피해를 최소화하기 위해서 백신 제품을 설치하고 이메일 첨부파일 실행을 경계해야 한다. 그리고 백업 파일을 삭제하므로 중요한 자료는 별도로 백업해 보관해야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 8] TACHYON Endpoint Security 5.0 진단 및 치료 화면

 

 

TACHYON Endpoint Security 5.0에서 랜섬웨어 차단 기능을 이용하면 의심되는 파일의 암호화 행위를 차단할 수 있다.

 

[그림 9] TACHYON Endpoint Security 5.0 랜섬웨어 차단 기능