갠드크랩, 이제는 암호화도 골라서 한다?!

갠드크랩, 이제는 암호화도 골라서 한다?! AhnLab 분석팀 l 2019-04-17     한 랜섬웨어의 변신이 눈에 띈다. 바로 ‘갠드크랩(GandCrab)’이다. 다양한 유포 방법과 지속적인 버전 업데이트를 통해 국내 사용자를 괴롭혔던 갠드크랩 랜섬웨어가 이번에는 확장자별로 암호화를 선택적으로 수행하는 등 더욱 교묘하게 공격을 펼치고 있다.   최근 발견된 갠드크랩 v.5.2는 암호화 대상 파일의 확장자를 확인하는 방법과 이에 따라 암호화하는 방식이 이전 버전들과 다른 것으로 확인됐다. 갠드크랩 v.5.2는 확장자를 3가지 그룹으로 분리해 암호화할 대상을 확인 및 관리하는데, 암호화하지 않는 대상은 ▲특정한 확장자의 파일([그림 1] 참고) ▲파일명에 특정 데이터가 포함되어 있는 경우([그림 2] 참고) ▲폴더 경로에 특정 데이터가 포함된 경우([그림 3] 참고) ▲파일의 속성이 '읽기 전용'으로 설정되어 있는 경우 등이다.   [그림 1] 확장자 리스트 테이블 구성   [그림 2] 암호화 제외 대상에 포함된 데이터   [그림 3] 암호화 제외 대상인 폴더 경로   갠드크랩 v5.2는 파일 암호화 방식도 기존 버전과 차이를 보인다. 기존 버전과 동일한 알고리즘을사용해 암호화를 하되 특정한 크기만큼 나눠서 진행한다 갠드크랩 v5.2에 관한 상세한 정보는 ASEC 블로그에서 확인할 수 있다.   ►ASEC 블로그 바로가기: 확장자 별 암호화 방식의 차이를 보이는 GandCrab v5.2   안랩은 갠드크랩 랜섬웨어의 변종 및 유포 상황을 지속적으로 모니터링하고 있으며, 관련 사항을 V3에 신속히 업데이트하고 있다. 따라서 갠드크랩 등 랜섬웨어의 피해를 예방하기 위해서는 평소 V3의 엔진을 최신 버전으로 유지하고, 실시간 검사 기능을 켜 두어야 한다.   V3 제품은 갠드크랩 v5.2를 다음과 같은 진단명으로 탐지하고 있다.   <V3 제품군 진단명> Trojan/Win32.Agent Trojan/Win32.Gandcrab Malware/Win32.Generic