포스팅 내용

악성코드 분석 리포트

갠드크랩 랜섬웨어 v5.1 복호화툴 공개 및 갠드크랩의 새로운 버전 v5.2 등장


안녕하세요 

이스트시큐리티 시큐리티대응센터(ESRC) 입니다.


갠드크랩(GandCrab) v5.1의 복호화 툴이 공개되었습니다.  (▶ 갠드크랩 v5.1 복호화툴 다운로드)


이번 복호화 툴은 백신업체인 비트디펜더, 루마니아경찰, 유로폴 및 다른 전 세계 기관들이 협력하여 개발한 툴입니다. 


[그림1] 비트디펜더가 공개한 갠드크랩 복호화 툴


이번에 새롭게 공개된 복호화 툴은 더 상위버전인 갠드크랩 v5.1로 암호화 된 파일들도 복호화가 가능합니다. 다만, 이 툴로는 갠드크랩 2.x 버전과 3.x 버전에 감염된 파일들은 복호화가 불가능합니다. 


갠드크랩 랜섬웨어의 복호화 툴은 이 전에 이미 공개된 적이 있었습니다. (▶참고 : 갠드크랩(GandCrab) 랜섬웨어의 무료 복호화 툴 공개 돼)


그때 당시 공개되었던 복호화 툴은 ver5.0.4까지의 갠드크랩으로 암호화 된 파일들만 복호화가 가능했습니다.


하지만 안타까운 것은 갠드크랩 v.5.1의 복호화 툴이 공개되자마자 새로운 버전인 갠드크랩 v5.2가 공개되었다는 소식입니다. 


[그림2] 갠드크랩 v5.2 랜섬노트


새롭게 공개된 갠드크랩 v5.2는 기존에 발견되었던 갠드크랩 랜섬웨어들과 동일하게 파일을 암호화 한 후 확장자를 5~10자리의 랜덤한 문자열 방식의 확장자로 변경하며, txt 형식의 랜섬노트를 사용합니다. 


다만, 랜섬노트 및 변경하는 바탕화면에 v5.2라고 명시되어 있습니다. 


현재 알약에서는 새로운 갠드크랩 랜섬웨어 변종에 대해  Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 

 




티스토리 방명록 작성
name password homepage