Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보 GandCrab의 한국 사랑, 북한 폰트 파일로 유포되는 GandCrab4 (2)
작성일 2018-07-11 조회 385

 

 

Link : 디자이너를 사칭한 메일로 유포되는 GandCrab Version 3

Link : 또 다시 등장한 GandCrab 시리즈, Version 4 - 유포 방식(HTML) 편

Link : 또 다시 등장한 GandCrab 시리즈, Version 4 - 악성코드 편

Link : GandCrab의 한국 사랑, 북한 폰트 파일로 유포되는 GandCrab4 (1)

 

 

 

 

[GandCrab Version4]

 

행위: 랜섬웨어
파일 크기: 204,800 bytes
SHA256: ef3bd23566967d47b5375911d09aad1e5568b200432f4a5257207f50d235f05f

 

 

 

매번 새로운 갠드크랩이 나올 때마다 최초 등장한 갠드크랩 버전 1과 비교해 오고 있지만 기존 갠드크랩과 접속하는 악성 C2나 암호화 하는 확장자, 혹은 변경되는 확장자를 제외하고는 비슷한 구조를 가지고 있습니다. 

 

 

[그림] GandCrab 비교

 

 

 

 

 

감염 시 몇 가지 확장자를 제외한 모든 확장자를 암호화 합니다. 예외 확장자 중 기존 랜섬웨어의 확장자도 다수 확인할 수 있습니다.

 

.ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock.hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa.msc .msp msstyles .msu .nomedia .ocx .prf .rom.rtp .scr .shs .spl .sys .theme .themepack .exe .bat.cmd .gandcrab .KRAB CRAB .zerophage_i_like_your_pictures 

 

 

 

일반적인 스펠링인 'CRAB' 이 아닌 'KRAB' 으로 암호화 합니다.

 

[그림] 파일 암호화 (.KRAB)

 

 

 

갠드크랩 v3 은 사설 DNS를 사용하여 악성 C2에 접속하며, 접속 불가 시 암호화를 진행하지 않았다면 갠드크랩 v4는 네트워크 통신 여부와 상관 없이 암호화를 진행합니다. 

 

 

 

[CnC]

 

www[.]billerimpex[.]com
www[.]macartegrise[.]eu
www[.]poketeg[.]com
perovaphoto[.]ru
asl-company[.]ru
www[.]fabbfoundation[.]gm
www[.]perfectfunnelblueprint[.]com
www[.]wash-wear[.]com
pp-panda74[.]ru
cevent[.]net
bellytobabyphotographyseattle[.]com
alem[.]be
boatshowradio[.]com
dna-cp[.]com

 

[그림] 악성 C2

 

 

 

 

언제나 그렇 듯 파일 암호화 시 랜섬노트가 생성이 되며, 지불 노트는 Tor를 사용하여 확인할 수 있습니다.

 

[그림] 랜섬노트

 

 

[그림] 결제 페이지 (Tor)

 

 

 

랜섬웨어나 Wiper 처럼 파일의 암호화 / 삭제하는 악성코드의 대처 방법은 자료의 주기적인 백업입니다. 백업본은 망분리 혹은 비 네트워크 상태로 보호하는 것이 현명하며, 사용하시는 백신을 최신상태로 유지하여 최신 악성코드에 대한 대처를 할 수 있기를 바랍니다.

 

 

 

[Sniper 대응]

 

 - Win32/Ransomware.GandCrab4.204800

 

 

 

Source

http://hummingbird.tistory.com/notice/4859

첨부파일 첨부파일이 없습니다.
태그 랜섬웨어  GandCrab