.Crab 확장자를 사용하고 일부 내용이 변경 된 GandCrab 랜섬웨어 버전 2 발견 돼

GandCrab Ransomware Version 2 Released With New .Crab Extension & Other Changes

지난 주, 연구원들과 루마니아 경찰 및 유로폴이 GandCrab 랜섬웨어의 C&C 서버에 접근해 피해자들의 복호화 키를 복구할 수 있었습니다.

이에 비트디펜더의 연구원들은 일부 피해자들이 파일을 복호화할 수 있는 툴을 공개했습니다.

▶ 툴 다운로드 

이 사건 이후, GandCrab의 개발자들은 더욱 안전한 C&C를 포함한 두 번째 버전을 공개할 것이라 밝힌 바 있습니다.

그리고 어제, 연구원들은 GandCrab 버전2를 발견했습니다. 이 버전은 보안이 더욱 강력해졌으며 원래 버전과는 많은 차이를 보였습니다.

안타깝게도, GandCrab v2의 피해자들은 아직까지 파일을 무료로 복호화할 수 없습니다.

GandCrab v2에서 변경 된 점

백엔드에서의 가장 큰 변화는 랜섬웨어의 C&C 서버의 hostname입니다. 새로운 hostname은 politiaromana.bit, malwarehunterteam.bit, gdcb.bit 입니다. 

이는 복호화 키를 복구한 루마니아 경찰과 연구원의 이름에서 따온 것으로 보입니다. 랜섬웨어는 파일을 암호화하기 전 이 C&C 서버에 연결해야 합니다.

또 다른 변경 사항은 파일을 암호화할 때 사용하는 확장자와 랜섬노트의 이름입니다. 새로운 버전으로 암호화 된 파일들은 .CRAB 확장자가 추가 됩니다. 예를 들면, test.jpg가 암호화 될 경우 test.jpg.CRAB이 됩니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-version-2-released-with-new-crab-extension-and-other-changes/>

변경 된 랜섬 노트의 이름은 CRAB-Decrypt.txt 이며 아래의 내용으로 변경 되었습니다. 개발자에게 Tox 메시징 서비스를 이용해 연락하라는 문구가 추가 되었습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-version-2-released-with-new-crab-extension-and-other-changes/>

또한, 지불 사이트의 레이아웃도 아래와 같이 변경 되었습니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-version-2-released-with-new-crab-extension-and-other-changes/>

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.GandCrab로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-version-2-released-with-new-crab-extension-and-other-changes/