본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

실존 디자이너 명의를 사칭한 악성 메일로 GandCrab 랜섬웨어 국내 유포 주의

보안공지 2018-03-27



안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


최근 실제로 존재하는 디자이너 명의를 사칭한 악성 메일을 통해 GandCrab 랜섬웨어가 유포되고 있어 주의를 당부드립니다.



이번에 발견된 악성 메일은 저작권에 위배된 이미지를 확인해달라는 내용을 담고 있으며, 첨부된 파일을 열어서 이미지 파일을 보도록 유도합니다.


[그림 1] 저작권 침해 메일 내용


첨부파일 '이미지 내용정리(참고하세요).egg'에는 'this.exe', '1.원본이미지_180323.jpg.lnk', '2.사용이미지_180323.jpg.lnk', '3.사이트 링크정리_180323.doc.lnk'가 있습니다. 만일 이용자가 이미지나 링크를 보기 위해 바로가기 파일을 클릭 할 경우 'this.exe' PE 파일이 실행됩니다.


[그림 2] 첨부파일 '이미지 내용정리(참고하세요).egg'


[그림 3] '1.원본이미지_180323.jpg.lnk' 바로가기 파일의 속성


관련하여 바로가기 파일에서는 기존 비너스락커(VenusLocker) 랜섬웨어에서 사용된 경로가 확인되었습니다.


[그림 4] 바로가기 파일에서 확인된 비너스락커에서 사용된 경로


'this.exe' 파일은 GandCrab 랜섬웨어로서 파일 암호화 기능을 수행합니다. 파일 암호화 전, 현재 실행 중인 프로세스를 확인하여 SQL 관련 프로세스, MS 오피스, 스팀(Steam) 등의 프로세스를 종료합니다. 이는 파일 쓰기 권한을 확보해 암호화를 원활하게 진행하려는 것으로 보여집니다. 


[그림 5] 프로세스 종료 코드


다음은 종료 대상 프로세스 이름 목록입니다.


msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, sqlservr.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

[표 1] 종료 대상 프로세스 이름


프로세스 종료 이후, 파일 암호화를 진행합니다. 암호화는 다음의 파일 경로, 파일 이름, 확장자 문자열을 제외한 파일들을 대상으로 합니다. 


\\ProgramData\\

\\IETldCache\\

\\Boot\\

\\Program Files\\

\\Tor Browser\\

Ransomware

\\All Users\\

\\Local Settings\\

\\Windows\\

[표 2] 암호화 대상 제외 경로 문자열


desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, CRAB-DECRYPT.txt

[표 3] 암호화 대상 제외 파일 이름 문자열


.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .CRAB, .crab, .GDCB, .gdcb, .gandcrab, .yassine_lemmou

[표 4] 암호화 대상 제외 확장자 문자열


암호화 대상 경로에 복호화 결제 안내 내용이 담긴 'CRAB-DECRYPT.txt' 랜섬노트 파일을 생성합니다.


[그림 6] 랜섬노트 생성 코드


암호화된 파일 뒤에는 'CRAB' 확장명이 추가됩니다. 다음은 암호화된 파일 뒤에 'CRAB' 확장명이 추가되는 코드입니다.


[그림 6] 암호화된 파일 뒤에 확장명 'CRAB'를 추가하는 코드


[그림 7] 암호화된 파일


또한 GandCrab 랜섬웨어는 '%APPDATA%\Microsoft\' 경로에 '[임의의 영문자 6자리].exe'로 자가복제 한 뒤, 윈도우 부팅 시 자동 실행을 위해 자동 실행 레지스트리에 등록합니다.


[그림 8] 자동 실행 레지스트리에 등록된 GandCrab 랜섬웨어


그리고 이번 GandCrab 랜섬웨어에서 사용하는 C&C는 다음과 같습니다.


zonealarm.bit

ransomware.bit

[표 5] GandCrab에서 사용하는 C&C 목록


암호화 완료 이후, 복호화 결제 안내를 위해 토르 웹 브라우저 다운로드 사이트를 띄웁니다.


[그림 9] 토르 웹 브라우저 다운로드 사이트를 띄우는 코드


[그림 10] 토르 웹 브라우저 다운로드 주소


최종적으로 공격자는 랜섬노트 파일인 'CRAB-DECRYPT.txt'을 통해 암호화된 파일을 복호화하기 위해 기재된 다크넷 주소로 접속을 유도합니다.


[그림 11] GandCrab 랜섬노트


토르 웹 브라우저를 통해 다크넷에 접속할 경우 다음과 같이 결제할 수 있는 웹 사이트로 연결되며, 1.53 대시(DASH)을 요구합니다. 현재 1 Dash는 한국 가상화폐 시세 기준으로 약 40만원 선에서 거래가 이루어지고 있습니다.


[그림 12] GandCrab 다크넷 화면


따라서 이러한 유형의 공격으로부터 랜섬웨어에 감염이 되지 않기 위해 출처가 불분명한 메일에 첨부된 링크나 첨부파일을 주의해야 합니다. 또한 평상시 중요한 자료들은 외장하드 등의 외장 매체에 정기적으로 백업할 수 있는 습관을 가져야 합니다.


현재 알약에서는 관련 샘플들을 'Trojan.Downloader.LnK.Gen', 'Trojan.Ransom.GandCrab'로 진단하고 있으며, 행위 기반으로 GandCrab 랜섬웨어를 탐지 및 차단하고 있습니다.