복호화 툴로 복구 불가능한 갠드크랩(GandCrab) 5.0.5 변종 발견!

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

백신업체인 비트디펜더가 갠드크랩 복호화툴을 공개한 가운데, 최근 갠드크랩의 최신 변종인 갠드크랩 5.0.5가 발견되어 사용자들의 주의가 필요합니다.

※ 관련글 보기

▶ 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼

▶ 이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!

▶ 멀버타이징 기법으로 유포 중인 갠드크랩(GandCrab) v5.0.3 주의!!

▶ 비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!

▶ 갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중!

이번에 발견된 갠드크랩 5.0.5버전은 이전에 발견되었던 갠드크랩들과 동일한 특징을 갖고 있습니다.

 

파일들을 암호화 한 후 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하며, txt형식의 랜섬노트를 사용합니다.

[그림 1] ‘.ssuquvu’ 확장자로 암호화 된 파일 목록

[그림 2] 랜섬 노트 화면

갠드크랩 5.0.5버전은 이전과 동일한 특성을 갖고 있음에도 비트디펜더가 공개한 복호화 툴로는 아래와 같이 더이상 복호화는 불가능 합니다.

[그림 3] 복호화 실패 화면

 

따라서 공개된 복구 툴로 복구가 어렵기 때문에 해당 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 이메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다. 

현재 알약에서는 관련 샘플들을 'Trojan.Ransom.GandCrab'로 진단하고 있습니다.