갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0 - 최신정보

진행중 이벤트

최근글 최근댓글

Windows Forms Professional Utilities "Rufus"

OS Forms "OsBlood"

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

윈도정보 갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0

작성자: 구피 조회 수: 1039 PC모드

갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0

갠드크랩(GandCrab) 랜섬웨어가 연일 화제(?)다. 이번에는 파일리스(fileless) 형태의 갠드크랩 3.0 버전(이하 갠드크랩 v3.0)이 등장했다. 안랩 시큐리티대응팀(AhnLab Security Emergency response Center, 이하 ASEC)은 블로그를 통해 갠드크랩 v3.0에 관한 분석 정보를 공유하고 개인 사용자는 물론 기업 보안 관리자들의 각별한 주의를 당부했다.

최근 매그니튜드(Magnitude) 익스플로잇 킷을 통해 파일리스 형태로 유포도니 갠드크랩 랜섬웨어가 발견됐다. 안랩은 지난 4월 갠드크랩 랜섬웨어 대응 방안을 발표하면서 파일리스 형태로 유포되는 갠드크랩(GandCrab v2.1) 랜섬웨어를 언급한 바 있다. 이번에 확인된 갠드크랩 v3.0도 앞선 버전과 마찬가지로 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태(files)로 유포 중이다.

갠드크랩 v3.0의 또 다른 특이 사항은 감염 완료 후 랜섬노트를 보여주는 것은 기존과 동일하지만, 이전 버전과는 달리 [그림 1]과 같이 바탕화면을 변경한다.

[그림 1] 갠드크랩 v3.0 감염 후 변경된 바탕화면

갠드크랩 v3.0은 매그니튜드 익스플로잇 킷의 랜딩 페이지가 인코딩된 스크립트를 통해 유포되고 있다. 해당 스크립트를 통해 닷넷(.Net) DLL이 감염 시스템에 저장(drop)하는 대신 실행 중인 인터넷 익스플로러(iexplore.exe)의 메모리 상에서 동작한다. 스크립트에 의해 DLL이 실행되면 쉘코드(shellcode)가 쓰레드(thread)로 실행된다. 이때 쉘코드는 패킹된 DLL을 다운로드하고 실행하는 역할을 수행하며, 이렇게 다운로드된 DLL이 현재 동작 중인 프로세스(iexplore.exe)에 랜섬웨어를 인젝션(injection)한다.

인젝션된 갠드크랩 랜섬웨어는 감염 시스템 내 파일을 암호화하고, 암호화를 완료하면 [그림 2]와 같은 랜섬노트를 노출한다. 이어 앞서 설명한 것처럼 바탕화면을 [그림 1]과 같이 변경한다.

[그림 2] 갠드크랩 v3.0 의 랜섬노트

피해 예방을 위해 애플리케이션 보안 업데이트 적용해야…

파일리스 형태로 동작하는 갠드크랩 랜섬웨어는 또한 개인키 확인을 어렵게 하는 기법을 적용하고 있다. 이는 보안 솔루션의 탐지를 방해하는 한편, 암호화 파일의 복구를 힘들게 하기 위한 것으로 보인다.

‘랜섬웨어’라는 악성코드의 특성 상 한번 감염되고 나면 피해를 입은, 즉 암호화된 파일의 복구는 사실상 불가능하다. 암호화된 파일을 복호화를 하기 위해서는 공격자가 갖고있는 키(개인키)가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일 복구는 불가능하기 때문이다. 대부분의 랜섬웨어가 마찬가지로, 결국 랜섬웨어에 의한 피해를 최소화하기 위해서는 사전에 감염 예방을 위한 노력이 반드시 필요하다.

또한 갠드크랩 v3.0은 알려진 스크립팅 엔진 메모리 손상 취약점(CVE-2016-0189)을 이용했다. 갠드크랩 v3.0 및 이와 유사한 방식 또는 동일한 취약점을 이용하는 랜섬웨어의 피해를 예방하기 위해서는 주요 웹 브라우저의 보안 업데이트를 반드시 적용해야 한다.

갠드크랩 v3.0이 이용한 취약점(CVE-2016-0189)에 영향 받는 웹 브라우저는 인터넷 익스플로러(Internet Explorer, IE) 버전 9, 10, 11이며, 아래의 마이크로소프트 웹사이트에서 보안 패치가 적용된 최신 버전의 IE를 다운로드 할 수 있다.

► 마이크로소프트 사이트 바로가기

갠드크랩 v3.0 유포 스크립트 및 동작 과정에 관한 보다 상세한 내용은 ASEC 블로그를 통해 확인할 수 있다.

► ASEC 블로그 ‘갠드크랩 v3.0’ 관련 내용 바로가기

이 게시물을

test test test

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다

엮인글 :

2018.05.10 09:26
가입일: 2018:10.04
총 게시물수: 2
총 댓글수: 664

랜섬 지긋지긋 하군요;;

2018.05.10 11:02
가입일: 2018:04.24
총 게시물수: 66
총 댓글수: 493

랜섬은 최악이다..
다들 조심해요.

2018.05.10 12:09
가입일: 2016:07.28
총 게시물수: 1
총 댓글수: 215

좋은 정보 감사 합니다..

2018.05.10 13:22
가입일: 2016:05.13
총 게시물수: 28
총 댓글수: 1106

또 변종이 나왔군요.;;;

2018.05.10 17:08
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

징그러운 놈들.....백업만이 살길이네요.

2018.05.10 23:11
가입일: 2016:07.28
총 게시물수: 52
총 댓글수: 672

랜섬웨어 만드는놈들...나쁜놈들..ㅜ

2018.05.10 23:50
가입일:
총 게시물수: 0
총 댓글수: 16

언제쯤 랜섬웨어가 사라지는 날이 올까요 ㅠㅠ

2018.05.11 13:10
가입일: 2018:01.09
총 게시물수: 7
총 댓글수: 100

유용한 정보네요. ie11 재설치는 다운받아보니 영문버전인데 설치 하면 한글적용 되려나 모르겠습니다.

2018.05.11 14:17
가입일: 2018:10.07
총 게시물수: 1165
총 댓글수: 1121

정보 잘 보고 갑니다

2018.05.12 00:21
가입일: 2018:04.17
총 게시물수: 1
총 댓글수: 14

정보 감사합니다.

2018.05.12 02:57
가입일: 2015:12.10
총 게시물수: 1613
총 댓글수: 1383

랜섬 짜증난다...정보 감사합니다.

2018.05.12 17:55
가입일: 2018:01.24
총 게시물수: 0
총 댓글수: 11

정보 감사합니다!

2018.05.17 21:54
가입일:
총 게시물수: 1
총 댓글수: 372

정보 감사합니다

2018.05.20 21:21
가입일: 2016:02.09
총 게시물수: 30
총 댓글수: 1753

랜섬웨어 유포자들 전부 사형을 시켜야

2018.05.24 10:21
가입일:
총 게시물수: 0
총 댓글수: 93

아..랜섬웨어...ㅠ

List of Articles

윈도정보 Windows RS5 Inside Preview 17677 공개되었습니다. 한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다. CLIENTCLOUDE Lean 버전 CLIENTCORE Home 버전 CLIENTEDUCATION Education 버전 CL... 작성자: Mania 등록일: 2018-05-25	753 VIEWS 10 COMMENTED
IT정보 [ 갤럭시S7, 갤S9 기능 맛본다…24일 오레오 업데이트 출시 ] 삼성전자의 2016년 주력 스마트폰 갤럭시S7과 갤럭시S7 엣지에 마침내 안드로이드 8.0 오레오(Oreo) 업데이트가 배포됐다. 관련 업계에 따르면 삼성전자는 24일... 작성자: 숲속의빈터 등록일: 2018-05-25	1021 VIEWS 7 COMMENTED
IT정보 [ 삼성전자, '웨어OS' 품은 스마트워치 ] 삼성전자와 구글이 웨어러블 기기 시장에서 다시 밀월 관계를 회복할 것으로 보인다. 23일(현지시간) 폰아레나 등 외신은 IT트위터리안 에반 블래스(@evleaks) ... 작성자: 숲속의빈터 등록일: 2018-05-24	565 VIEWS 10 COMMENTED
IT정보 QLC SSD 시장 열린다, 마이크론과 인텔 QLC NAND 양산 발표 TLC NAND가 일반화 된 지금, 다음 단계를 준비하던 NAND 제조사들이 드디어 QLC NAND 시장에 손을 대기 시작했다. NAND 플래시 시장에 주력해 온 마이크론이 인... 작성자: Shalom 등록일: 2018-05-24	785 VIEWS 7 COMMENTED
No Image 윈도정보 Windows 10 Version 1803에 대한 누적 업데이트(KB4100403) Cumulative Update for Windows 10 Version 1803 (KB4100403) : 17134.81 1803 for x64-based Systems (KB4100403) http://download.windowsupdate.com/d/msdownl... 작성자: Mania 등록일: 2018-05-24	886 VIEWS 10 COMMENTED
No Image 윈도정보 "은행의 블록체인 사용, 예상보다 빠를 것" "은행의 블록체인 사용, 예상보다 빠를 것" 탈중앙화한 분산 원장 기술인 블록체인(Blockchain)을 은행이 조만간 사용하고, 관련 사업에 뛰어들 것이라는 관측이 ... 작성자: 구피 등록일: 2018-05-24	223 VIEWS
No Image 일반정보 해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의 해커들, 80만 대 이상 드레이텍 라우터 제로데이 취약점 공격...주의 드레이텍(DrayTek) 라우터에서 공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수... 작성자: 구피 등록일: 2018-05-24	222 VIEWS
유용정보 업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의! 업무 메일인 척 이메일 계정 정보 빼가는 공격, 주의! 최근 업무 관련 제목으로 위장해 사용자의 웹 메일 계정 정보 탈취를 시도하는 피싱 메일이 유포되고 있다.... 작성자: 구피 등록일: 2018-05-24	201 VIEWS 2 COMMENTED
No Image 윈도정보 Windows 10 Version 1709에 대한 누적 업데이트(KB4103714) Cumulative Update for Windows 10 Version 1709 (KB4103714) : 16299.461 1709 for x64-based Systems (KB4103714) http://download.windowsupdate.com/d/msdown... 작성자: Mania 등록일: 2018-05-22	499 VIEWS 12 COMMENTED
유용정보 EasyDrv7 v7.18.508.1 (2018.05.17）오늘 나왔습니다 https://www.itsk.com/thread-387419-1-1.html 오늘 날짜로 나왔습니다 윈도우7 86비트 64비트 수정한것으로 봐서 정식 으로 나왔습니다 한글패치 구하신 분들은 ... 작성자: 늙은이최영순 등록일: 2018-05-17	4147 VIEWS 30 COMMENTED
윈도정보 Windows RS5 Inside Preview 17672 공개되었습니다. 한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다. CLIENTCLOUDE Lean 버전 CLIENTCORE Home 버전 CLIENTEDUCATION Education 버전 CL... 작성자: Mania 등록일: 2018-05-17	490 VIEWS 1 COMMENTED
윈도정보 Windows RS5 Inside Preview 17666 공개되었습니다. 한글판 ISO 토렌트 파일은 "홍차의 꿈"님의 블로그에서 가져왔습니다. CLIENTCLOUDE Lean 버전 CLIENTCORE Home 버전 CLIENTEDUCATION Education 버전 CL... 작성자: Mania 등록일: 2018-05-10	1123 VIEWS 25 COMMENTED
윈도정보 갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0 갠드크랩 랜섬웨어, 또 버전 업!...파일리스 형태의 v3.0 갠드크랩(GandCrab) 랜섬웨어가 연일 화제(?)다. 이번에는 파일리스(fileless) 형태의 갠드크랩 3.0 버... 작성자: 구피 등록일: 2018-05-10	1039 VIEWS 15 COMMENTED
No Image 윈도정보 5월 9일 Adobe Flash Player Update (KB4103729) Security Update for Adobe Flash Player for Windows 10 Version 1803 (KB4103729) [x64] http://download.windowsupdate.com/c/msdownload/update/software/se... 작성자: Mania 등록일: 2018-05-09	531 VIEWS 8 COMMENTED
No Image 윈도정보 5월 9일 Windows 10 누적 업데이트입니다. 1. Cumulative Update for Windows 10 Version 1803 (KB4103721) : 17134.48 1803 for x64-based Systems (KB4103721) http://download.windowsupdate.com/c/msdo... 작성자: Mania 등록일: 2018-05-09	1053 VIEWS 17 COMMENTED