Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

치열한 갠드크랩 랜섬웨어 추격전! 암호화 차단에 변종으로 맞불


모든 이들을 지치게 하는 기록적인 무더위가 계속되고 있는 가운데, 악성코드 분석가들은 3주 가까이 밤낮 없이 치열한 시간을 보내고 있다. 갠드크랩(GandCrab) 랜섬웨어가 다시 나타났기 때문이다.


주요 보안 업체의 추적을 따돌리려는 듯 매주 새로운 변종이 나타나고 있다. 열대야가 무색하리만큼 치열하게 이어지고 있는 안랩과 갠드크랩 랜섬웨어 제작자의 추격전을 공개한다.

 

1807255068844900.jpg

(*이미지 출처:  shutterstock.com)
 

 

Episode 1. 갠드크랩 무력화 킬스위치(Kill-Switch) 및 암호화 방지 툴 공개 - 2018. 7. 13.


지난 7월 9일, 해외 보안 업체 포티넷(Fortinet)은 블로그를 통해 갠드크랩 랜섬웨어 v4.0에 대한 암호화 차단 방법을 공유했다.  이 정보를 토대로 최근 국내에서 유포되고 있는 갠드크랩 v4.1 및 v4.1.1의 암호화를 방지하는 툴을 개발, 블로그를 통해 무료로 배포했다.


국내에서 유포되고 있는 v4.x대의 갠드크랩 랜섬웨어는 주로 가짜 이력서 파일과 입사 지원으로 위장한 메일이나 워드 프로그램, 유명 게임 등의 이름으로 위장한 실행 파일을 이용하고 있다. 또한, v4.1 및 v4.1.1 등 v4.x 대의 갠드크랩 랜섬웨어는 네트워크 공유폴더의 파일까지도 암호화한다. 즉, 기업 및 기관의 경우 네트워크 연결을 통해 피해가 확산될 수 있어 더 큰 피해가 우려된다.


시큐리티대응팀(이하 ASEC) 블로그를 통해 관련 내용을 상세히 공유하는 한편, v4.x대의 갠드크랩 랜섬웨어의 암호화를 방지하는 툴(GandCrab_v4.x_Kill_Switch.zip)을 제공하고 있다.


► [ASEC Blog] ‘GandCrab v4.x 암호화 차단 방법(Kill-Switch)’ 바로가기




Episode 2. 추적 의식한 변종 등장 vs. 무력화 툴 업데이트 - 2018. 7. 17


포티넷이 갠드크랩 v4.1.1의 암호화를 차단하는 방법을 공개하자 랜섬웨어 제작자는 곧 새로운 변종을 제작했다. 지난 7월 17일, 갠드크랩 v4.1.2가 확인된 것.


특히 이 변종의 코드 내부에서 [그림 1]과 같이 안랩(AhnLab)과 포티넷(Fortinet)을 의미하는 문자열(보라색 표시 부분)이 확인되었다. 갠드크랩 랜섬웨어 제작자가 안랩과 포티넷의 추적을 의식하고 있음을 확인할 수 있는 대목이다.


1807255069735743.jpg
[그림 1] 갠드크랩 v4.1.2의 코드 내부에서 확인된 안랩(AhnLab) 이름
(*이미지 출처: 해외 보안 업체 분석가 Marcelo Rivero 트위터, twitter.com/MarceloRivero)


또한 v4.1.2에는 보안 업체 이름의 문자열이 추가된 것 외에도 암호화를 방지하는 것과 관련된 *.lock 파일명 생성 알고리즘이 복잡하게 변경되었다. 해당 알고리즘을 분석한 결과, 또 다시 암호화를 차단할 수 있는 방법(Kill-Switch)을 확인했다. 암호화 차단 툴을 업데이트한  ASEC 블로그를 통해 v4.1.2 암호화 차단 툴을 무료로 배포했다.


갠드크랩 v4.1.2의 암호화를 차단하는 툴의 자세한 사용 방법은 ASEC 블로그를 통해 확인할 수 있다.


► [ASEC Blog] ‘GandCrab v4.1.2 암호화 차단 방법(Kill-Switch)’ 바로가기

 

Episode 3. 도발하는 또 다른 변형 등장 - 2018. 7. 20


악성코드 분석가들이 갠드크랩 랜섬웨어의 동향을 예의 주시하고 있던 가운데 지금까지 확인된 유형과는 조금 다른 형태의 v4.1.2가 포착됐다. 코드 내부에 해외 보안 업체 포티넷의 이름이 보였던 기존 4.1.2와 달리, 특정한 뮤텍스 생성 시 사용하는 문자열(string)에 안랩(AhnLab) 이름만 보인다.


1807255093700389.jpg
[그림 2] 안랩(AhnLab)의 이름만 보이는 갠드크랩 v4.1.2 변형

 

또한 안랩의 이름이 들어간 문자열에 포함된 URL에 접속하면 [그림 3]과 같은 이미지가 나타난다. 이 이미지에 보이는 러시아어 문구는 모욕적인 표현으로 확인되었다.


1807255070900330.png
[그림 3] 갠드크랩 v4.1.2 변종의 코드 내부 URL 접속 시 나타는 이미지


또한 이 갠드크랩 v4.1.2의 변형은 암호화 차단을 위한 킬스위치와 관련된 코드가 존재하지 않는다.

 

 

Episode 4. 가상머신 탐지 우회하는 갠드크랩 v4.2 등장 - 2018. 7. 24


v4.0, v4.1, v4.1.2, v4.1.3 등 갠드크랩 랜섬웨어 변종이 나타날 때 마다  이에 대한 암호화 차단 툴(Kill-Switch) 배포로 대응하자 공격자는 새로운 기능을 탑재한 v4.2를 제작하고 유포 방식 또한 변경했다.


지난 7월 24일 확인된 갠드크랩 랜섬웨어 v4.2는 리그 익스플로잇킷(Rig Exploit Kit, 이하 RigEK)을 통해 유포됐다. 잘 알려져 있는 악성코드 제작•유포 툴인 RigEK는 지난 4월경 갠드크랩 v2.x와 v3.x을 유포할 때 사용된 바 있다. 그러나 이후 최신 버전의 갠드크랩 랜섬웨어를 유포할 때는 사용되지 않았으며, 최신 버전의 갠드크랩 랜섬웨어 중 RigEK를 통해 유포된 것이 확인된 것은 v4.2가 처음이다.


최신 버전의 갠드크랩 랜섬웨어는 가상머신(Virtual Machine) 기반의 탐지를 우회하는 안티VM(Anti-VM) 기능이 추가됐다. 또한 감염된 시스템의 CPU 개수와 디스크 사용량 등을 확인해 특정한 환경일 경우 암호화 작업을 실행하는 것으로 확인되었다.


최신 갠드크랩 랜섬웨어 v4.1.2에 관한 보다 상세한 내용은 ASEC 블로그에서 확인할 수 있다.


► [ASEC Blog] ‘새롭게 등장한 GandCrab v4.2 (안티VM + RigEK)’ 바로가기


한편, 갠드크랩 랜섬웨어 v4.1.2는 플래시 플레이어 취약점('CVE-2018-4878)'을 이용해 유포되고 있다. 갠드크랩 랜섬웨어 v4.1.2는 취약한 플래시 플레이어 파일(swf)에서 [그림 4]와 같은 커맨드 명령을 통해 쉘코드를 실행한다.

 

1807255071677371.png 

[그림 4] 플래시 파일 내부의 갠드크랩 랜섬웨어 v4.1.2 쉘코드


최신 버전의 갠드크랩 랜섬웨어에 의한 피해를 예방하기 위해서는 플래시 플레이어를 최신 버전으로 업데이트해야 한다. V3 제품군에서는 갠드크랩 랜섬웨어 v4.1.2 및 관련 플래시 파일(swf)을 아래와 같은 진단명으로 탐지하고 있다.


- Malware/MDP.DriveByDownload
- SWF/Cve-2018-4878.Exp.3
- Malware/MDP.Ransom
- Trojan/Win32.Gandcrab

 

 

지금까지 살펴본 바와 같이 갠드크랩 랜섬웨어 제작자는  보안 업체의 분석에 민감하게 반응하며 공격 방식 및 유포 방식을 계속해서 변경하고 있다.  악성코드 분석가들은 새로운 갠드크랩 랜섬웨어 변종이 나타나지 않는지 면밀하게 모니터링하고 있으며, 새로운 정황이 포착되면 ASEC 블로그 등을 통해 관련 내용을 신속히 공유할 예정이다.


한편, 주요 보안 업체의 노력으로 일부 갠드크랩 랜섬웨어 변종에 대한 암호화 차단 툴은 확보했지만, 랜섬웨어의 특성 상 모든 랜섬웨어의 예방 툴을 확보할 수 있는 것은 아니다. 또한 일단 랜섬웨어에 감염되면 대부분 복구가 불가능하기 때문에 사용자들의 각별한 주의가 필요하다.  ​

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­
엮인글 :

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

회탈리카

2018.07.26 10:28
가입일: 2016:06.26
총 게시물수: 5958
총 댓글수: 4797
정상적인 일을해서 먹고살아라 이것들아!!!!!!!!!!!!!
profile

꼼팡이

2018.07.27 00:11
가입일: 2016:07.28
총 게시물수: 98
총 댓글수: 317
조심해야겠네요
profile

아버지

2018.07.27 06:40
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020
랜섬웨어로 인한 개인적...사회적...피해가 너무 큰것 같습니다...확실한 해결책이 백업 밖에 없는것 일까요..???
profile

엔냐

2018.07.28 11:19
가입일: 2018:04.24
총 게시물수: 66
총 댓글수: 493
랜섬웨어 퍼트리는 사람은 잡아 넣어야 합니다
List of Articles

일반정보 Intel 8세대 Coffee Lake에서 windows 7 사용가능......

Intel 8세대 Coffee Lake에서 windows 7 사용가능하다고 합니다.   그러나 내장그래픽등 일부 기능은 사용이 불가하다고 합니다.   자세한 내용은 아래 원문을 ...

  • 등록일: 2018-08-09

539

VIEWS

7

COMMENTED

일반정보 아래아 한글에서 안중근 한자변환 한 번에 안되고 이완용은 된다네요. 근데 이유가 있어요. file

이 기사 한 번 보세요. http://www.insight.co.kr/news/169412 지금은 들어가면 이 내용을 지웠는지 없습니다. 한글 정품 계속 구입했는데 구입을 하지 말아야 할...

  • 등록일: 2018-08-03

1216

VIEWS

20

COMMENTED

기타정보 구글링도 옛말, 이젠 ‘동영상 검색’의 시대!

구글링도 옛말, 이젠 ‘동영상 검색’의 시대! 연일 폭염으로 가마솥더위가 이어지는 요즘, 회사원 A씨는 곧 다가올 여름휴가를 희망 삼아 퇴근 후 지친 몸을 소파...

  • 등록일: 2018-08-03

502

VIEWS

2

COMMENTED

일반정보 새 CPU버그 '넷스펙터', 코드 설치 없이 공격 file

네트워크를 통해 원격으로 컴퓨터 시스템의 메모리를 빼돌릴 수 있는 중앙처리장치(CPU) 보안허점이 발견됐다. 이를 발견한 보안 전문가들은 '넷스펙터(NetSpectr...

  • 등록일: 2018-07-30

812

VIEWS

12

COMMENTED

MS소식 MS "윈도10 사용 중 업데이트 없앤다" file

MS "윈도10 사용 중 업데이트 없앤다" 머신러닝 이용해 자리 비웠을 때 업데이트 않도록 조치 사용 중이던 컴퓨터가 윈도 업데이트 때문에 재부팅되는 일이 없어...

  • 작성자: Op
  • 등록일: 2018-07-27

1368

VIEWS

24

COMMENTED

윈도정보 치열한 갠드크랩 랜섬웨어 추격전! 암호화 차단에 변종으로 맞불

치열한 갠드크랩 랜섬웨어 추격전! 암호화 차단에 변종으로 맞불 모든 이들을 지치게 하는 기록적인 무더위가 계속되고 있는 가운데, 악성코드 분석가들은 3주 가...

  • 등록일: 2018-07-26

453

VIEWS

4

COMMENTED

윈도정보 윈도10 메모장이 편리해진다

컴퓨팅 윈도10 메모장이 편리해진다하반기 대형 업데이트 레드스톤5 메모장 업그레이드 임민철 기자 입력 : 2018.07.17.10:05 수정 : 2018.07.17.10:05 44  윈도 ...

  • 등록일: 2018-07-19

2015

VIEWS

27

COMMENTED

윈도정보 동영상 다운로드 하려다 랜섬웨어까지?!

동영상 다운로드 하려다 랜섬웨어까지?! 최근 유명 포털 사이트에 ‘○○○ 동영상 다운’ 또는 ‘○○○ 다운로드’라고 검색할 때 검색되어 나타나는 웹사이트들 중에 랜...

  • 등록일: 2018-07-19

1103

VIEWS

14

COMMENTED

윈도정보 July 16, 2018—KB4345421 (OS Build 17134.166)

July 16, 2018—KB4345421 (OS Build 17134.166)적용 대상: Windows 10, version 1803 Improvements and fixes This update includes quality improvements. No ne...

  • 등록일: 2018-07-17

559

VIEWS

4

COMMENTED

윈도정보 "Microsoft Windows 10 October 2018 Update"

Windows 10, 레드스톤5(RS5)의 정식 명칭은 "Microsoft Windows 10 October 2018 Update" 아직 확실치는 않지만 아마도 이렇게 되지않을까 싶네요...   RS5 = "Mi...

  • 등록일: 2018-07-17

538

VIEWS

9

COMMENTED

윈도정보 MS 차기 윈도 "생체정보로 원격인증 지원"

MS 차기 윈도 "생체정보로 원격인증 지원"임민철 기자 입력 2018.07.16. 12:02 수정 2018.07.16. 12:07 댓글 16개 윈도10 차기 업데이트 시험판에..로그인 관련 ...

  • 등록일: 2018-07-16

447

VIEWS

6

COMMENTED

일반정보 더욱 교묘하게, 피싱의 귀환!

더욱 교묘하게, 피싱의 귀환! 개인, 기업을 막론하고 지난 몇 년 간 랜섬웨어라는 보안 위협에 시달린데 이어 최근에는 가상화폐 채굴 악성코드에 시달리고 있다....

  • 등록일: 2018-07-12

871

VIEWS

23

COMMENTED

윈도정보 쉬지 않는 랜섬웨어, 이번엔 변조된 압축 파일로!

쉬지 않는 랜섬웨어, 이번엔 변조된 압축 파일로! 최근 또 다시 이력서 파일로 위장한 압축 파일(.zip)을 이용해 유포되는 랜섬웨어가 확인됐다. 그러나 기존과 ...

  • 등록일: 2018-07-12

630

VIEWS

7

COMMENTED

일반정보 인텔CPU 대란 오나 "웨이퍼 없어 못만든다" file

이르면 오는 8월부터 인텔 프로세서 생산에 차질이 생길 수 있다는 '인텔 프로세서 수급 대란설'이 PC 업체 관계자들 사이에서 대두되고 있다. 일부 제조사는 최...

  • 등록일: 2018-07-09

1024

VIEWS

18

COMMENTED

IT정보 그래픽카드 7월에 사야하나? 채굴 수요 급감에 20% 하락 전망

그래픽카드 가격 하락이 좀 더 구체화 되고 있다. 혼돈에 빠진 가상화폐 채굴 시장이 그래픽카드 수요를 약화 시키면서 재고 부담을 견디지 못한 공급 업체들이 ...

  • 등록일: 2018-07-02

1645

VIEWS

30

COMMENTED