상세 컨텐츠

본문 제목

.KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 랜섬웨어 주의

악성코드 분석 리포트

by 알약(Alyac) 2018. 7. 6. 14:35

본문



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 .KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 버전의 랜섬웨어가 등장하여 이용자들의 주의를 당부드립니다.


이번에 발견된 GandCrab 4.0이 실행될 경우 먼저 다음의 프로세스를 종료합니다. 종료되는 프로세스에는 SQL 관련 프로그램 및 오피스, 스팀과 같은 프로그램이 있습니다. 이는 암호화 대상 파일의 쓰기 권한을 확보하기 위함으로 보여집니다.


msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, sqlservr.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, sqlservr.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

[표 1] 종료되는 프로세스 목록


다음은 암호화 환경을 확인하는 코드입니다. GandCrab 4.0에서는 키보드 레이아웃에 '러시아어'가 있는지와 시스템 언어 환경이 '러시아, 우크라이나, 벨라루스, 타지키스탄, 아르메니아, 아제르바이잔, 조지아, 카자흐스탄, 키르기스스탄, 투르크메니스탄, 우즈베키스탄, 타타르' 인지 확인합니다. 만일 조건을 만족할 경우 암호화를 진행하지 않고 자가 삭제 및 프로세스를 종료합니다.


[그림 1] 키보드 레이아웃에서 러시아어 확인 코드


GandCrab 4.0에서 암호화를 진행하지 않는 시스템 언어 환경을 정리한 표는 다음과 같습니다. 


Lang ID

언어 환경 

0x419

러시아

0x422

우크라이나

0x423

벨라루스

0x428

타지키스탄

0x42B

아르메니아 

0x42C

아제르바이잔

0x437

 조지아

0x43F

 카자흐스탄

0x440

 키르기스스탄

0x442

 투르크메니스탄

0x443

우즈베키스탄 

0x444

 러시아(타타르)

0x818

루미나아(몰도바)

0x819

러시아(몰도바)

0x82C

아제르바이잔 

0x843

우즈베키스탄

[표 2] 암호화를 하지 않는 시스템 언어 환경


암호화 진행 전, 암호화 제외 폴더, 파일, 확장자 문자열을 제외하고 암호화를 진행합니다. 암호화 제외 문자열을 확인하는 이유는 불필요한 암호화 방지와 랜섬노트 암호화를 제외하기 위함으로 보여집니다. 


"desktop.ini", "autorun.inf", "ntuser.dat", "iconcache.db", "bootsect.bak", "boot.ini", "ntuser.dat.log", "thumbs.db", "KRAB-DECRYPT.html", "KRAB-DECRYPT.txt", "CRAB-DECRYPT.txt", "ntldr", "NTDETECT.COM", "Bootfont.bin"

[표 3] 암호화 제외 파일 문자열


\\ProgramData\\

\\IETldCache\

\\Boot\\

\\Program Files\\

\\Tor Browser\\

\\All Users\\

\\Local Settings\\

\\Windows\\

[표 4] 암호화 제외 폴더 문자열


이번 GandCrab 4.0에서는 'crab', 'GDCB', 'gdcb', '.yassine_lemmou'가 제외되고 'lock', 'KRAB', 'zerophage_i_like_your_pictures' 확장자 문자열이 새롭게 추가 되었습니다.


ani, cab, cpl, cur, diagcab, diagpkg, dll, drv, lock, hlp, ldf, icl, icns, ico, ics, lnk, key, idx, mod, mpa, msc, msp, msstyles, msu, nomedia, ocx, prf, rom, rtp, scr, shs, spl, sys, theme, themepack, exe, bat, cmd, gandcrab, KRAB, CRAB, zerophage_i_like_your_pictures

[표 5] 암호화 제외 확장자 문자열


각 암호화 대상 폴더에 'KRAB-DECRYPT.txt' 이름의 랜섬노트 파일을 생성하고, 파일들을 암호화합니다. 암호화된 파일 뒤에는 'KRAB' 확장자가 추가됩니다. 다음은 랜섬노트 생성 코드와 파일들을 암호화하는 코드입니다.


[그림 2] 랜섬노트 생성 코드


[그림 3] 파일 암호화 코드


암호화 완료 이후, 암호화된 파일의 복원을 방지하기 위해 쉐도우 볼륨 복사본을 삭제합니다.


[그림 4] 파일 복원 방지 명령어 실행


쉐도우 볼륨 복사본 삭제가 완료되면, 자가 삭제를 진행합니다.


[그림 5] 자가 삭제 코드


최종적으로, GandCrab 4.0에서 드롭한 랜섬노트 'KRAB-DECRYPT.txt'에는 암호화된 파일의 복호화를 위해서는 토르 웹 브라우저를 통해 GandCrab 다크넷 주소(http://gandcrabmfe6mnef[.]onion)로 접속하여 가상화폐(BTC, DASH)를 결제하라는 내용을 담고 있습니다.


[그림 6] 랜섬노트 'KRAB-DECRYPT.txt'


랜섬노트를 통해 접속하는 GandCrab 다크넷 웹 사이트에서는 결제를 위해 BTC(비트코인)과 DASH(대시) 가상화폐 결제를 유도합니다.


[그림 7] GandCrab 랜섬웨어 다크넷 화면


다음은 이번 GandCrab 4.0과 예전 GandCrab를 비교하여 정리한 표입니다. 이전 GandCrab 랜섬웨어 버전에서는 C&C 통신으로 감염 기기 시스템 및 감염 통계 전송 및 암호화 키 수신이 이루어졌습니다. 하지만 이번 GandCrab 4.0에서는 C&C 통신 없이 암호화를 진행하고 있습니다. 또한 이번 버젼과 대비해 암호화 제외 환경이 늘어났으며, 바탕화면 변경 기능과 자가 복제, 자동 실행 기능이 사라졌습니다.


 

이전 버젼 GandCrab

GandCrab 4.0 

C&C 통신 여부

암호화 전 : 감염 기기 시스템 정보 전송 및 암호화에 사용할 키 수신

 

암호화 후 : 감염 통계 전송

X(오프라인 암호화)

암호화 환경 확인 

러시아(키보드 레이아웃 확인)

러시아(키보드 레이아웃 확인)


러시아, 우크라이나, 벨라루스, 타지키스탄, 아르메니아, 아제르바이잔, 조지아, 카자흐스탄, 키르기스스탄, 투르크메니스탄, 우즈베키스탄, 타타르(시스템 언어 확인) 

바탕화면 변경 기능 

O

자가 복제 및 자동 실행 기능

O

[표 6] 이전 버젼의 GandCrab와 GandCrab 4.0 비교


지속적으로 랜섬웨어가 버젼을 거듭하면서 변화하고 있는 만큼, 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 GandCrab 4.0 랜섬웨어를 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.



관련글 더보기

댓글 영역