포스팅 내용

국내외 보안동향

암호화한 파일에 새로운 .KRAB 확장자를 붙이는 GandCrab V4 발견 돼

GandCrab V4 Released With the New .KRAB Extension for Encrypted Files


지난 주말, 많은 변화가 적용 된 GandCrab V4 랜섬웨어가 발견 되었습니다. 다른 암호화 알고리즘을 적용했으며, 새로운 .KRAB 확장자를 붙이고, 랜섬노트 이름이 변경 되었으며, 새로운 TOR 지불 사이트를 사용합니다.


현재 GandCrab V4의 피해자들은 파일을 무료로 복호화할 수 없는 상태입니다.


GandCrab V4, 가짜 크랙 사이트를 통해 배포 돼


Fly라는 예명을 사용하는 연구원은 GandCrab v4가 배포 되는 방식 중 하나가 가짜 소프트웨어 크랙 사이트를 이용하는 것이라 밝혔습니다. 랜섬웨어 배포자들은 정식 사이트를 해킹해 소프트웨어 크랙 다운로드를 제공하는 가짜 블로그를 세팅합니다. 사용자가 이 크랙을 다운로드 및 실행 하면, 이는 컴퓨터에 GandCrab 랜섬웨어를 설치합니다.


아래는 이러한 가짜 크랙 블로그의 샘플입니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>

 


GandCrab, Salsa20 암호화 알고리즘 사용하기 시작 해


GandCrab v4에서 발견 된 디버그 메시지에 따르면, 이 랜섬웨어는 암호화 알고리즘을 Salsa20으로 변경한 것으로 보입니다.


<이미지 출처: https://twitter.com/MarceloRivero/status/1013976220957073408/photo/1>



GandCrab이 컴퓨터를 암호화하는 방법


GandCrab이 실행 되면, 이는 컴퓨터 및 모든 네트워크의 공유 파일들을 스캔합니다. 공유 네트워크를 스캔할 때, 이는 매핑 된 드라이브 뿐만 아니라 공유 된 모든 네트워크를 열거합니다.


타겟 파일을 발견하면, 이는 파일을 암호화 후 .KRAB 확장자를 붙입니다. 예를 들어, test.doc는 암호화 후 test.doc.KRAB으로 변경 될 것입니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>


파일을 암호화 할 때, 랜섬웨어는 KRAB-DECRYPT.txt라는 이름의 랜섬노트를 생성합니다. 여기에는 피해자의 파일에 무슨 일이 일어났는지에 대한 설명과, 랜섬머니 지불을 위한 TOR 사이트 (gandcrabmfe6mnef.onion) 및 지불 방법 등이 포함 되어 있습니다.


랜섬노트의 샘플은 아래와 같습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>


피해자가 TOR 지불 사이트를 방문하면, GandCrab 복호화 툴을 받기 위해 지불해야 하는 금액과 돈을 지불하는 방법에 대한 지침을 보게 됩니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>



랜섬 금액은 현재 $1,200이며, DASH(DSH) 가상화폐로 지불할 수 있습니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>


 

TOR 지불사이트에는 ‘지원’ 섹션이 있어 사용자들이 개발자에게 메시지를 보낼 수 있거나, 파일 하나를 무료로 복호화 해 개발자들이 실제로 파일을 복호화할 수 있다는 것을 보여줍니다.


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 





출처 :


티스토리 방명록 작성
name password homepage