갠드크랩 랜섬웨어 2.1 버전은 주로 보안이 취약한 누리집을 통해 퍼지고 있다. 갠드크랩 랜섬웨어가 실행되면 일부 경로 및 확장명의 파일을 뺀 대부분의 파일을 암호화하고 기존 확장자 뒤에 ‘.CRAB’을 추가한다. 이어 [사진 1]과 같은 랜섬노트를 화면에 보여준다.
안랩, 갠드크랩 랜섬웨어 킬체인 기반의 대응 방안 공개
안랩은 갠드크랩 랜섬웨어를 분석한 결과, 특정 데이터를 포함한 파일(이하 ‘데이터 파일’)이 폴더에 존재하면 해당 폴더는 암호화 않는 조건, 곧 ‘킬 스위치(kill switch)’를 발견했다. 이는 백신 제품의 여러 탐지 기법 가운데 하나를 우회하기 위해 공격자가 설계한 것으로 추정된다.
안랩은 이를 역이용, 해당 ‘데이터 파일’이 특정 드라이브의 첫 번째 지점에 존재하면 해당 드라이브 전체가 암호화되지 않는 것을 확인했다. 안랩은 자사 시큐리티대응팀(ASEC, AhnLab Security Emergency response Center) 블로그를 통해 해당 데이터 파일을 제공하고 있다.
위의 ASEC 블로그를 통해 안랩이 제공하는 데이터 파일을 내려 받아서 각 드라이브의 첫 번째 지점(각 드라이브 루트경로, ex. C:/ 혹은 D:/)에 복사해 놓으면 갠드크랩 랜섬웨어 2.1버전에 감염되어도 해당 드라이브에 존재하는 파일이 암호화 되는 것을 막을 수 있다.
V3 제품군의 갠드크랩 랜섬웨어 대응 현황
안랩은 앞서 매그니베르 랜섬웨어의 유포지를 확인하던 중 최신 갠드크랩 랜섬웨어(GandCrab v2.1)가 유포되고 있는 것을 파악하고 예의 주시하던 중 지난 4월 둘째 주에 갠드크랩 랜섬웨어가 매그니튜드(Magnitude) 익스플로잇 킷을 통해 감염 시 별도의 파일이 생성되지 않는 형태 파일리스(Fileless) 형태로 유포되는 것을 확인했다.
갠드크랩 랜섬웨어 2.1 버전이 파일리스 형태로 유포됨에 따라 안랩의 V3 제품군에서는 URL 및 패킷 차단 방식으로 대응하고 있다.
우선, V3 Lite는 ‘악성 사이트 접근 차단’ 기능을 통해 사용자가 매그니튜드 익스플로잇 킷과 관계된 누리집을 방문할 때 접속을 막고 [사진 2]와 같은 알림창을 제공한다.
기업용 PC 통합 보안 솔루션인 V3 Internet Security 9.0(V3 IS 9.0)와 V3 Endpoint Security 9.0(V3 ES 9.0)은 갠드크랩 랜섬웨어가 암호화를 수행하기 위해 C&C 서버에 접속하는 패킷을 막고, 아래 [사진 3]과 같이 네트워크 침입 차단 알림창을 제공한다. [사진 3]의 차단된 프로세스 explorer.exe는 악성코드에 의해 새롭게 생성된 프로세스다.
갠드크랩 랜섬웨어 감염 예방을 위한 보안 수칙
갠드크랩 랜섬웨어 2.1 버전은 암호화하는 파일마다 랜덤한 키 바이트를 생성하여 암호화한 뒤 랜덤 키 바이트를 다시 공격자의 공개키로 암호화 한다. 곧, 암호화된 파일을 복호화 하기 위해서는 공격자의 개인키가 필요하며, 공격자의 C&C 서버에서 전달받은 공개키에 대한 개인키를 알지 못하면 파일 복구는 할 수 없다. 이는 대부분의 랜섬웨어도 마찬가지로, 결국 랜섬웨어에 의한 피해를 최소화하기 위해서는 사전에 감염 예방을 위한 노력이 반드시 필요하다.
기본적으로 ▲수상한 누리집 접속 금지 ▲출처가 불분명하거나 불법 콘텐츠 파일 내려받기 금지 ▲운영체제(OS), 인터넷 브라우저(익스플로러, 크롬, 파이어폭스 등), 오피스 소프트웨어따위의 프로그램 최신 버전 유지와 보안 패치 ▲V3의 엔진 버전을 최신으로 유지하는 등이다.
특히 갠드크랩 랜섬웨어 2.1 버전이 악용하는 취약한 웹브라우저는 인터넷 익스플로러 버전 9, 10, 11로, 해당 브라우저의 최신 버전은 마이크로소프트의 다운로드를 통해서 다운로드할 수 있다.
AhnLab 분석팀 제공
