News

체크멀의 모든 소식을 빠르게 전해드립니다.

안티랜섬웨어 전문기업 체크멀(대표 김정훈)은 갠드크랩(GandCrab) 랜섬웨어가 v4 버전으로 새로운 변종이 실행된 것을 확인했다고 3일 밝혔다.


갠드크랩 랜섬웨어는 올해 1월경 최초 등장하여 한국어로 작성된 다양한 이메일을 통해 표적형 공격을 시도했다. 여전히 입사지원서, 채무, 이미지 도용 및 저작권과 관련된 메일을 통해 감염시키고 있다. 이메일 유포 방식 외에도 취약점을 통한 유포 행위도 있었지만, 5월 하순 이후로는 취약점 유포는 사라진 상태이다.


갠드크랩 랜섬웨어의 변종은 기존과 다르게 C&C 서버와 통신 없이 파일 암호화가 진행된다. 이메일, 문서 편집, SQL 및 데이터 관련 프로세스가 실행될 경우 종료 후 파일 암호화가 진행되는 것은 기존과 동일하다.

암호화된 파일은 .KRAB 파일 확장명이 추가되고, 각 암호화 대상 폴더에는 KRAB-DECRYPT.txt 결제 안내 파일이 생성된다. KRAB-DECRYPT.txt 결제 안내 파일에 GANDCRAB KEY 정보와 PC DATA 정보가 포함되어 있는 것이 특징이다.


생성된 KRAB-DECRYPT.txt 파일은 GANDCRAB V4 버전으로 표시되어 있으며, Tor 웹 브라우저를 통해 특정 주소(.onion)로 접속하여 비트코인 또는 DASH 암호화폐로
지불하도록 안내한다. 파일 암호화 완료 시점에 "C:\Windows\system32\wbem\wmic.exe" shadowcopy delete 명령어 실행을 통해 파일을 복구할 수 없게 한다.

체크멀 관계자는 “갠드크랩 랜섬웨어 v4 버전에 대해서도 앱체크 안티랜섬웨어는 추가 업데이트 없이 파일 암호화 행위 탐지, 차단 및 일부 훼손 파일의 자동 복원을 지원한다”고
말했다. 또한 활발하게 유포가 이루어질 가능성이 높은 랜섬웨어이므로 메일의 첨부파일 또는 URL 링크를 통한 실행, MS Word 문서의 매크로 기능 실행을 통한 랜섬웨어 감염이
이루어지지 않도록 각별히 주의할 것을 당부했다.

List

위로