GandCrab 랜섬웨어 4.0이 발견 된 지 며칠 후 4.1버전 추가로 발견 돼

A few days after discovery of GandCrab ransomware ver 4.0, experts found 4.1 version

GandCrab 랜섬웨어는 올해 초 처음으로 발견 되었으나 제작자들은 수 개월에 걸쳐 이 랜섬웨어를 급격히 진화시켰으며 개선했습니다. 3월을 기준으로, 이 랜섬웨어는 5만 대 이상의 시스템을 감염시켰으며, 개발자들은 랜섬머니로 $600,000을 벌어들였습니다.

며칠 전 GandCrab 랜섬웨어 4.0이 발견 된 후(▶.KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 랜섬웨어 주의), 연구원들이 또 다시 새로운 버전인 4.1을 발견했습니다. 이는 다운로드 사이트로 보이는 해킹 된 웹사이트들을 통해 배포 되고 있습니다.

최신 버전인 4.1의 코드에는 악성코드가 감염 된 기기와 관련 된 데이터(IP 주소, 계정 명, 컴퓨터 명, 네트워크 도메인, 시스템에 존재하는 안티 멀웨어 툴 등)를 보내는 웹사이트 목록이 포함 되어 있었습니다.

또한 GandCrab은 이 새로운 버전에서 이전 버전에서 볼 수 없었던 네트워크 통신 전략을 추가했습니다.

<이미지: https://www.fortinet.com/blog/threat-research/gandcrab-v4-1-ransomware-and-the-speculated-smb-exploit-spreader.html>

새로운 변종이 데이터를 수 많은 웹사이트로 보내는 이유는 무엇일까요?

하드코딩 된 목록에 포함 된 웹사이트들이 실제로 해킹 되었다는 증거는 찾을 수 없었지만, 상황으로 미루어 볼 때 악성코드의 제작자들은 기능을 테스트 중이거나 주의를 돌리기 위한 전략으로써 사용 중인 것으로 추측할 수 있습니다.

“피해자의 정보를 리스트에 포함 된 모든 라이브 호스트로 보내는 것은 비논리적입니다. 목적을 달성하기 위해서는 단 한번 성공하기만 해도 충분할 것이기 때문입니다. 이러한 점을 감안할 때, 이 기능은 그저 실험적이거나 분석을 방해하기 위한 것으로 추측됩니다.”

또한 GandCrab 랜섬웨어 4.1은 파일 암호화 프로세스를 방해할 수 있는 수 많은 프로세스들을 종료시킵니다. 예를 들면, 마이크로소프트 오피스, 스팀, 오라클 등 많은 인기있는 프로그램들에서 사용 되는 가치가 높은 파일들을 암호화 하기 위해 msftesql.exe, sqlagent.exe, oracle.exe, msaccess.exe, powerpnt.exe, wordpad.exe를 종료합니다.

또한 전문가들은 GandCrab 랜섬웨어 4.1이 WannaCry와 Petya/NotPetya와 같이 SMB 공유를 통해 확산될 수 있다는 증거는 없다고 강조했습니다.

“지난 며칠 동안, 이 버전의 GandCrab 악성코드가 SMB 익스플로잇을 통해 자기 자신을 확산시킬 수 있다고 주장하는 많은 보고서가 공개 되었습니다.”

“하지만, 우리는 이 익스플로잇과 유사한 실제 기능을 찾을 수 없었습니다.”

현재 알약에서는 GandCrab 4.1 랜섬웨어를 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.

출처 :

https://securityaffairs.co/wordpress/74443/malware/gandcrab-ransomware-4-1.html

https://www.fortinet.com/blog/threat-research/gandcrab-v4-1-ransomware-and-the-speculated-smb-exploit-spreader.html