[랜섬웨어 분석]9월 랜섬웨어 동향 및 GandCrab V5.0.1 랜섬웨어

9월 랜섬웨어 동향 및 GandCrab V5.0.1 랜섬웨어

1. 9월 랜섬웨어 동향

2018년 09월(09월 01일 ~ 09월 30일) 한 달 간 국내 랜섬웨어 동향을 조사한 결과, 지속적으로 버전업 된 GandCrab 랜섬웨어 5.0 버전과 5.0.1 버전이 등장했다. 또한 홈페이지 제작업체 ‘아이 웹’ 이 랜섬웨어에 피해를 받아 지난해 있었던  나야나 랜섬웨어 사태를 떠오르게 했다.

 

해외에서는 영국 브리스틀 공항이 랜섬웨어에 피해를 받아 직원들과 승객들이 혼란을 겪는 일이 있었다.

 

이번 보고서에서는 9월 국내/외 랜섬웨어 피해 사례 및 신/변종 랜섬웨어와 GandCrab v5.0.1 에 대해 좀 더 자세히 알아보고자 한다.

1-1. 국내/외 랜섬웨어 피해 사례

아이웹 랜섬웨어 피해 사례

추석 연휴 기간에 홈페이지 제작 전문업체 ‘아이웹’ 이 랜섬웨어 공격을 당했다. 아이 웹이 운영하는 ‘아이웹 빌더’ 데이터베이스(DB) 서버가 암호화 됨에 따라 홈페이지를 제작한 이용자들의 웹 사이트가 피해를 입었다. 어떤 랜섬웨어에 감염됐는지 등 구체적인 사항에 대해서는 아직 조사 중인 것으로 알려졌다.

 

 

[그림 1] 아이웹 사이트 긴급공지

 

 

영국 브리스틀 공항 랜섬웨어 피해 사례

9월 중순, 영국 브리스틀 공항의 운항정보 화면이 검게 표시되며 랜섬웨어에 감염 되었다. 비행 스케줄정보가 나타나는 화면 시스템이 마비됐고, 공항 직원들은 항공편의 도착 정보를 발표하기 위해 화이트 보드를 사용하는 해프닝이 벌어졌다. 공항 측에서 구체적인 랜섬웨어 종류는 밝히지 않았으며 비행기 스케줄 자체에는 별다른 영향이 없었고, 며칠 뒤 모든 것이 복구 되었다고 전했다. 또한 이번 사건을 해결하기 위해 범인들에게 그 어떤 대가도 지불하지 않았다고 한다.

 

 

[그림 2] 영국 브리스틀 공항

 

 

 

 

GandCrab 랜섬웨어 피해사례

GandCrab 랜섬웨어가 v5.0, v5.0.1 로 업데이트 되어 국내에 유포 되기 시작했다. 기존 버전과 다르게 감염 후 확장자명이 .KRAB 에서 임의의 5~10 자리 문자열로 변화했다. 또한, 감염 후 변경되는 바탕화면이 변경되었다. GandCrab 은 앞으로도 지속적인 버전업이 예상되므로 주의를 요한다.

1-2. 신종 및 변종 랜섬웨어

오바마 랜섬웨어

9월 초에 발견된 이 랜섬웨어는 ‘Barack Obama’s Everlasting Blue Blackmail Virus’ 라는 이름을 갖고 있으며, 랜섬노트에 오바마 대통령 사진이 나온다. 또한 .exe파일만을 암호화 시키는 특징을 갖고 있으며, .exe파일과 관련이 있는 레지스트리 키를 조작하는 특징을 갖고 있다.

 

 

[그림 3] 오바마 랜섬웨어 랜섬노트

 

 

 

 

SAVEfiles 랜섬웨어

SAVEfiles 랜섬웨어는 일부 경로를 제외하고 모든 확장자를 암호화 시킨다. 인터넷 브라우저를 통해 드라이브 바이 다운로드(Drive by Download)로 유포된 것으로 추정되고, 암호화 후에 ‘.SAVEfiles’ 확장자를 추가한다. 명령제어 서버인 C&C 서버로 연결해 암호화 키를 받아오지만, 네트워크가 연결되지 않은 환경에서도 내부에 하드 코딩 된 값을 이용하여 암호화 한다.

 

 

[그림 4] SAVEfiles 랜섬웨어 랜섬노트

 

 

 

 

CryptoNar 랜섬웨어

CryptoJoker 랜섬웨어의 변종인 CryptoNar 랜섬웨어가 발견됐다. 기존 랜섬웨어와 비교했을 때 암호화 대상이나 방법에는 약간의 차이를 보인다. CryptoNar 랜섬웨어는 모든 확장자를 암호화 시키며, 암호화 후 fully.cryptoNar 또는 partially.cryptoNar 을 덧붙인다. 암호화 후 SMTP 프로토콜을 이용해 공격자에게 RSA 키 정보가 전달되고 바탕화면에 자체 복구 툴이 드롭 되는데, 여기에 RSA 키 정보를 입력하면 복호화가 가능한 취약점이 있다.

 

 

[그림 5] CryptoNar 랜섬웨어 복구 툴

 

 

2. GandCrab v5.0.1 랜섬웨어 분석보고서

9월 말 등장한 GandCrab v5.0.1 은 암호화 확장자, 랜섬 노트, 감염 후 바탕화면에 변화가 있었다.

2-1. 파일 정보

구분	내용
파일명	[임의의 파일명].exe
파일크기	172,032 bytes
진단명	Ransom/W32.GandCrab.172032.C
악성동작	파일 암호화

 

 

2-2. 유포 경로

GandCrab V5.0.1은 .js 스크립트파일 형태로 유포된다고 추측되고 있지만 아직 정확한 유포 경로는 밝혀지지 않았다.

2-3. 기존 버전과의 차이점

기존 4.3 버전의 GandCrab 랜섬웨어는 파일 암호화 후에 .KRAB 확장자를 추가했던 반면에 5.0.1 버전에서는 [그림 6] 과 같이 임의의 5~10자리 문자열을 추가한다.

 

 

[그림 6] 암호화 된 파일

 

 

 

 

 

 

 

 

또한 파일 암호화 후에 바탕화면을 [그림 7]와 같이 변경하여 사용자에게 랜섬웨어 감염 사실을 알린다.

 

 

[그림 7] 암호화 후 바탕화면

 

 

 

 

 

 

 

랜섬노트에도 변화가 있었는데, 추석 연휴 기간에 발견된 GandCrab v5.0 에서는 [그림 8] 과 같이 사용자PC의 언어를 체크해서 한글로 된 내용의 ‘[암호화 확장자 명].html’ 파일을 생성했다.

 

 

[그림 8] GandCrab V5.0 랜섬노트

 

 

 

 

 

 

 

이후에 발견된 GandCrab V5.0.1 에서는 다시 ‘[암호화 확장자명].txt’ 파일로 변화 하였다.

 

[그림 9] GandCrab V5.0.1 랜섬노트

 

구분	GandCrab V5.0	GandCrab V5.0.1
암호화 확장자명	(.랜덤5자리 문자열)	(.랜덤 5~10자리 문자열)
랜섬노트명	(암호화 확장자명).html	(암호화 확장자명).txt

[표 1] GandCrab V5.0 및 V5.0.1 비교

3. 결론

GandCrab 랜섬웨어는 올해 1월에 발견된 뒤 지속적으로 버전업을 하며 다양한 유포방식과 감염방식을 통해 사용자들을 위협하고 있는 만큼 꾸준히 관심을 갖고 대비해야 한다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 MS에서 제공하는 최신 보안 패치와 함께 백신 제품을 설치하고 항상 최신버전으로 유지하여야 한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0 에서 진단 및 치료가 가능하다.

 

 
[그림 10] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

 

 

 

 

 

TACHYON Internet Security 5.0 에서 랜섬웨어 차단 기능 (환경설정-차단 설정-랜섬웨어 차단)을 이용하면 의심되는 파일 암호화 행위를 차단할 수 있다.

 

 

[그림 11] TACHYON Internet Security 5.0 랜섬웨어 차단 기능