상세 컨텐츠

본문 제목

악성 메일로 유포되는 GandCrab 2.1 랜섬웨어 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 4. 10. 15:29

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 악성 메일을 통해 GandCrab 2.1 버전의 랜섬웨어가 유포되고 있어 주의를 당부드립니다.


※ 관련글 보기


▶ 실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 가상화폐 모네로(XMR) 채굴기능의 한국 맞춤형 표적공격 증가


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


▶ '저작권 위반 그림 사용 확인 메일'로 위장한 가상화폐 채굴 악성코드 주의


▶ 확장자 숨겨 악성파일 열어보게 만드는 메일 유포… 고소장, 방 예약 문의 등으로 위장해 랜섬웨어 감염


▶ 교육 일정표 위장한 ‘한국 맞춤형’ 비너스락커 랜섬웨어 변종 국내 유포 중!


▶ ‘이젠 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중


▶ 쇼핑몰에서 유출된 ‘고객 개인정보 리스트’ 사칭한 변종 랜섬웨어 유포 중


▶ 10분의 1수준, 저렴한 암호 해독 비용 요구하는 '박리다매'형 랜섬웨어 유포 중!


▶ 글로벌 특송업체 ‘페덱스’ 배송팀을 사칭한 ‘오토크립터’ 한국형 랜섬웨어 확산!


▶ 'eFINE 교통범칙금 인터넷 납부'로 돌아온 비너스락커 주의!


▶ '차량 법규 위반 과태료 통지서'로 위장한 '오토크립터' 랜섬웨어 국내 다량 유포 주의


▶ 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포돼… 관계자 주의 필요


이번에 발견된 악성 메일은 기존 GandCrab 2.0을 유포한 악성 메일과 거의 유사하게 '창작물 무단 이용에 대한 이미지 파일을 확인' 내용으로 첨부 파일 실행을 유도합니다.


[그림 1] 창작물 저작권 침해 악성 메일 내용


첨부파일에는 'white.exe', '1.원본이미지_180408.jpg.lnk', '2.사용이미지_180408.jpg.lnk', '3.사이트 링크정리_180408.doc.lnk'가 있습니다. 만일 이용자가 이미지나 링크를 보기 위해 바로가기 파일을 클릭 할 경우 'white.exe' 실행 파일이 실행됩니다.


[그림 2] 이메일에 첨부된 파일 


실행되는 white.exe 실행 파일은 GandCrab 2.1 랜섬웨어로서, 기존 GandCarb 2.0 랜섬웨어와 대부분 동일하지만 일부 달라진 점이 있습니다.


첫 번째로, 자가 복제된 경로(%APPDATA%\Microsoft\)가 아닌 경우 파일 암호화 완료 뒤 시스템을 강제 종료하는 기능이 추가되었습니다. 즉, 랜섬웨어 최초 실행시 시스템이 한 차례 재부팅이 됩니다.


[그림 3] 자가복제된 경로가 아닌 경우 시스템 재부팅


두 번째로는 GandCrab 2.0 버전에는 암호화가 끝난 파일 뒤에 '.CRAB'를 추가하였지만, 이번 버전에는 파일 암호화 전에 암호화 대상 파일 뒤에 '.CRAB'를 추가합니다.


[그림 4] 파일 암호화 전 '.CRAB' 확장명 추가


세 번째로는, C&C에 시스템 정보 전송 간 '버전 정보'로 보여지는 고정값이 변경되었습니다. GandCrab 2.0에서는 '&version=1.2.5'가 고정값이었지만, 이번 버전에서는 '&version=2.3.1'로 변경되었습니다. 


[그림 5] GandCrab 2.1에서 버전 정보로 보이는 값 변경


그리고 이번 버전에서 C&C IP를 얻기 위해 다음의 도메인들이 사용되었습니다.


※ 호스트 도메인

zonealarm.bit

ransomware.bit


※ 서버 도메인

ns1.corp-servers.ru

ns2.corp-servers.ru

[표 1] GandCrab 2.1에서 사용하는 호스트와 서버 도메인


마지막으로 GandCrab 2.1 랜섬노트에서 버전이 'V2.1'로 바뀌었습니다.


[그림 6] GandCrab 2.1 버전 랜섬노트


따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 관련 샘플들을 'Trojan.Agent.LNK.Gen', 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.



관련글 더보기

댓글 영역