분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석]오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의

TACHYON & ISARC 2018. 7. 23. 09:34

오프라인 환경에서 암호화하는 GandCrab 4 버전 감염 주의

 

 
1. 개요

올해 상반기에 유행했던 GandCrab 랜섬웨어가 버전 4로 업그레이드되어 돌아왔다. 많은 부분이 이전 버전과 동일하지만, C&C 서버와 통신을 시도하지 않고 암호화 과정을 진행한다는 점에서 차이가 있다. 이로 인해 오프라인이나 폐쇄된 네트워크 환경에서도 곧바로 암호화가 진행되기 때문에 주의가 필요하다.
 
이번 보고서에서는 GandCrab 랜섬웨어의 악성 동작에 대해 알아보고자 한다.


2. 분석 정보

2-1. 파일 정보

구분 

내용 

 파일명

 [임의의 파일명].exe

 파일크기

 210,432 byte

 진단명

 Ransom/W32.GandCrab.210432

 악성동작

 파일 암호화

 

 2-2. 유포 경로

정확한 유포 경로는 밝혀지지 않았지만, 해당 랜섬웨어는 이메일 등의 수단을 통해 국내의 불특정 다수를 대상으로 유포되고 있는 것으로 추정된다.


2-3. 실행 과정

GandCrab 실행 시, 사용자 PC의 시스템 언어를 확인하여 ‘러시아어’ 사용 국가 언어가 설치되었을 경우 악성 행위 없이 프로그램이 종료된다. 또한 현재 실행 중인 프로세스를 탐색하며 특정 프로세스가 실행 중일 경우 해당 프로세스를 종료한다. 이후 시스템을 탐색하며 암호화 대상 파일을 암호화하고, 랜섬노트 “KRAB-DECRYPT.txt” 파일을 생성한다. 암호화 과정이 완료된 후에는 윈도우 볼륨 섀도우 복사본을 삭제하고, 원본 실행 파일을 삭제하여 흔적을 지운다.


 

[그림 1] 랜섬노트 “KRAB-DECRYPT.txt” 파일[그림 1] 랜섬노트 “KRAB-DECRYPT.txt” 파일

 

3. 악성 동작

3-1. 시스템 언어 확인 및 감염 제외

랜섬웨어 실행 시, 사용자 PC 의 시스템 언어를 확인하여 암호화 진행 여부를 결정한다. 우선, 키보드 레이아웃과 관련된 레지스트리 값을 확인하여 ‘00000419(러시아어)’일 경우 암호화를 진행하지 않고 프로세스가 종료된다. 또한 시스템 언어를 확인하여 [표 1]의 언어 중 하나에 속할 경우에도 암호화 작업 없이 프로세스를 종료한다.

 

[그림 2] 현재 시스템 키보드 레이아웃 값 비교[그림 2] 현재 시스템 키보드 레이아웃 값 비교

 

 

 

구분 

 내용

암호화 제외 시스템 언어

러시아어(0x419), 우크라이나어(0x422), 벨라루스어(0x423), 타지크어(0x428),

아르메니아어(0x42b), 아제리어-라틴문자(0x42c), 조지아어(0x437), 카자흐어(0x43f),

키르기스어(0x440), 투르크멘어(0x442), 우즈베크어-라틴문자(0x443),

타타르어-러시아(0x444), 루마니아어-몰도바(0x818), 러시아어-몰도바(0x819),

아제리어-키릴자모(0x82c), 우즈베크어-키릴자모(0x843)

[표 1] 암호화 제외 시스템 언어 목록



3-2.  특정 프로세스 강제 종료

암호화를 진행하기 전, 이전 버전과 마찬가지로 현재 실행 중인 프로세스 이름과 [표 2]의 종료 프로세스 목록을 비교하여 일치할 시 프로세스를 강제로 종료시킨다.

 

구분 

 내용

종료 프로세스

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, sqlservr.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, sqlservr.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

[표 2] 종료 프로세스 목록

 

3-3.  파일 암호화

GandCrab 랜섬웨어는 사용자 PC를 탐색하는 동안 [표 3]의 암호화 제외 목록을 참조하며 암호화 대상을 결정한다. 먼저 폴더명이 암호화 제외 폴더 목록에 속하면 해당 폴더의 하위 폴더 및 파일에 대해 암호화를 하지 않는다. 또한 파일 확장자가 암호화 제외 확장자 목록에 속하거나, 파일명이 암호화 제외 파일 목록에 속해도 암호화하지 않는다. 암호화된 파일은 확장자가 “.KRAB”으로 바뀌며, 암호화가 완료된 폴더에 “KRAB-DECRYPT.txt”라는 이름의 랜섬노트가 생성된다.

 

구분 

 내용

 암호화 제외 폴더

 ProgramData, IETldCache, Boot, Program Files, Tor Browser, All Users, Local Settings, Windows

 암호화 제외 확장자

 .ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .lock, .hlp, .ldf, .icl, .icns, .ico, .ics, .lnk, .key, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme ,.themepack, .exe, .bat, .cmd, .gandcrab, .KRAB, .CRAB, .zerophage_i_like_your_pictures

암호화 제외 파일

autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, KRAB-DECRYPT.html, KRAB-DECRYPT.txt, CRAB-DECRYPT.txt, ntldr, NTDETECT.COM, Bootfont.bin

[표 3] 암호화 제외 목록

 

 

 

[그림 3] 파일 암호화 결과[그림 3] 파일 암호화 결과

3-4.  시스템 복원 지점 삭제

암호화 완료 후에는 “wmic.exe” 파일을 실행하여 [그림 3]과 같은 명령을 실행한다. 아래 명령은 윈도우 볼륨 섀도우 복사본을 삭제하여 시스템 복원 기능을 무력화한다.

 

[그림 4] 파일 암호화[그림 4] 파일 암호화

 

 

3-5.  암호화 후 원본 실행 파일 삭제

마지막으로, “cmd.exe” 파일을 실행하여 원본 실행 파일을 삭제하고 흔적을 지운다.

[그림 5] 원본 실행 파일 삭제[그림 5] 원본 실행 파일 삭제

 

 

4. 결론

GandCrab 랜섬웨어는 지속적으로 기존 버전의 단점을 보완하고 유포하는 것으로 알려져있다. 이번 버전에서는 C&C 서버와 통신이 불가능한 환경에서 암호화가 정상 진행되지 않는다는 문제점이 보완되었기 때문에 주의가 필요하다.


랜섬웨어의 피해를 최소한으로 예방하기 위해서는 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 또한 중요한 자료는 별도로 백업하여 보관하는 습관을 들여야 한다.


상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능[그림 7] TACHYON Internet Security 5.0 랜섬웨어 차단 기능