GandCrab V4 Released With the New .KRAB Extension for Encrypted Files
지난 주말, 많은 변화가 적용 된 GandCrab V4 랜섬웨어가 발견 되었습니다. 다른 암호화 알고리즘을 적용했으며, 새로운 .KRAB 확장자를 붙이고, 랜섬노트 이름이 변경 되었으며, 새로운 TOR 지불 사이트를 사용합니다.
현재 GandCrab V4의 피해자들은 파일을 무료로 복호화할 수 없는 상태입니다.
GandCrab V4, 가짜 크랙 사이트를 통해 배포 돼
Fly라는 예명을 사용하는 연구원은 GandCrab v4가 배포 되는 방식 중 하나가 가짜 소프트웨어 크랙 사이트를 이용하는 것이라 밝혔습니다. 랜섬웨어 배포자들은 정식 사이트를 해킹해 소프트웨어 크랙 다운로드를 제공하는 가짜 블로그를 세팅합니다. 사용자가 이 크랙을 다운로드 및 실행 하면, 이는 컴퓨터에 GandCrab 랜섬웨어를 설치합니다.
아래는 이러한 가짜 크랙 블로그의 샘플입니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>
GandCrab, Salsa20 암호화 알고리즘 사용하기 시작 해
GandCrab v4에서 발견 된 디버그 메시지에 따르면, 이 랜섬웨어는 암호화 알고리즘을 Salsa20으로 변경한 것으로 보입니다.
<이미지 출처: https://twitter.com/MarceloRivero/status/1013976220957073408/photo/1>
GandCrab이 컴퓨터를 암호화하는 방법
GandCrab이 실행 되면, 이는 컴퓨터 및 모든 네트워크의 공유 파일들을 스캔합니다. 공유 네트워크를 스캔할 때, 이는 매핑 된 드라이브 뿐만 아니라 공유 된 모든 네트워크를 열거합니다.
타겟 파일을 발견하면, 이는 파일을 암호화 후 .KRAB 확장자를 붙입니다. 예를 들어, test.doc는 암호화 후 test.doc.KRAB으로 변경 될 것입니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>
파일을 암호화 할 때, 랜섬웨어는 KRAB-DECRYPT.txt라는 이름의 랜섬노트를 생성합니다. 여기에는 피해자의 파일에 무슨 일이 일어났는지에 대한 설명과, 랜섬머니 지불을 위한 TOR 사이트 (gandcrabmfe6mnef.onion) 및 지불 방법 등이 포함 되어 있습니다.
랜섬노트의 샘플은 아래와 같습니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>
피해자가 TOR 지불 사이트를 방문하면, GandCrab 복호화 툴을 받기 위해 지불해야 하는 금액과 돈을 지불하는 방법에 대한 지침을 보게 됩니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>
랜섬 금액은 현재 $1,200이며, DASH(DSH) 가상화폐로 지불할 수 있습니다.
<이미지 출처 : https://www.bleepingcomputer.com/news/security/gandcrab-v4-released-with-the-new-krab-extension-for-encrypted-files/>
TOR 지불사이트에는 ‘지원’ 섹션이 있어 사용자들이 개발자에게 메시지를 보낼 수 있거나, 파일 하나를 무료로 복호화 해 개발자들이 실제로 파일을 복호화할 수 있다는 것을 보여줍니다.
현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.GandCrab으로 탐지중에 있습니다.
피해자의 컴퓨터가 채굴에 적합한지, 랜섬웨어에 적합한지 판단하는 악성코드 발견 (0) | 2018.07.09 |
---|---|
대만 민진당 홈페이지 해킹 당해 (0) | 2018.07.05 |
누군가 VirusTotal에 업로드 한 2개의 제로데이 익스플로잇 발견 (0) | 2018.07.04 |
페이스북, 61개 기술 회사들에 사용자 데이터 공유 사실 인정 해 (0) | 2018.07.03 |
RAMpage 공격 – 안드로이드에서 RowHammer가 또 다시 악용 돼 (0) | 2018.07.02 |
댓글 영역