포스팅 내용

악성코드 분석 리포트

갠드크랩(GandCrab) v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해

추석 연휴동안 갠드크랩(GandCrab) v5가 발견되어 사용자들의 주의가 필요합니다. 


이번에 발견된 갠드크랩(GandCrab) v5가 기존의 갠드크랩(GandCrab) v4.x와 비교하였을 때 달라진 점은 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용한다는 점과, HTML 형식의 한국어 랜섬노트를 생성한다는 점입니다. 그 외의 대부분 행위는 기존의 버전과 유사합니다. 


이번 갠드크랩 v5는  보안연구원 nao_sec에 의해 Fallout 익스플로잇 키트를 호스팅하는 사이트로 이동시키는 멀버타이징을 통해 배포 되는 것이 발견되었습니다. 


이 익스플로잇은 방문자 SW에 존재하는 취약점을 활용하기 때문에 피해자들은 암호화된 파일과 랜섬노트를 발견하기 전 까지는 감염 사실을 눈치채기가 어렵습니다. 


또한 GandCrab v5 랜섬웨어는 감염된 컴퓨터에서 시스템 권한을 얻기 위해 최근에 공개된 작업스케쥴러 ALPC 취약점을 악용하는 것으로 확인되었습니다. (▶ALPC 취약점 관련내용 보러가기)


해당 취약점은 2018년 9월 MS 정기 업데이트를 통해 패치가 완료되었지만, 아직 패치를 진행하지 않은 PC들은 위험할 수 있습니다. 



GandCrab v5 특징



변경된 암호화 확장명


기존 GandCrab v4.x에서는 암호화된 파일을 대상으로 ‘.KRAB’ 확장자를 추가했었습니다. 하지만 이번 GandCrab v5.0에서는 ‘.KRAB’이 아닌 랜덤으로 생성된 5자리 문자열을 확장자로 추가합니다.


[5자리 랜덤 문자열 생성 코드]


[‘.qhvkt’ 확장자로 암호화된 파일 목록]



한국어가 적용된 HTML 랜섬노트


복호화 방법을 안내하는 랜섬노트는  ‘[5자리 랜덤 문자열]-DECRYPT.html’ 형식을 사용합니다. 이는 기존에 ‘.txt’ 형식을 사용하던 GandCrab v4.x와 달리 새롭게 변경된 부분 입니다. 


또한 감염된 시스템 언어가 한국어라면, 다음과 같이 한국어가 적용된 랜섬노트를 생성하는 것이 특징이며, Tor 브라우를 통해 연결하도록 유도합니다. 

 

[한국어로 안내된 랜섬노트 화면]



알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 



출처 :

https://www.bleepingcomputer.com/news/security/gandcrab-v5-ransomware-utilizing-the-alpc-task-scheduler-exploit/

https://www.bleepingcomputer.com/news/security/gandcrab-v5-released-with-random-extensions-and-new-html-ransom-note/

티스토리 방명록 작성
name password homepage