게의 발톱 : 랜섬웨어의 새로운 버전은 러시아인을 제외한 모든 사람을 공격합니다

읽기 시간 : 5 분

사이버 범죄자와 사이버 보안 전사 간의 무기 경쟁이 엄청나게 빨라지고 있습니다. 맬웨어 제작자는 최신의보다 정교한 새로운 샘플로 탐지되고 중화 된 맬웨어에 즉시 대응하여 최신 맬웨어 방지 제품을 우회합니다. 간드 크랩 (GandCrab)은 이러한 차세대 악성 코드를 대변합니다.

2018 년 XNUMX 월에 처음 발견 된이 정교하고 교활하며 끊임없이 변화하는 랜섬웨어는 서로 크게 구별되는 네 가지 버전이 있습니다. 사이버 범죄자들은 ​​지속적으로 암호화를 강화하고 탐지를 피하기 위해 새로운 기능을 추가했습니다. 코모도 악성 코드 분석가가 발견 한 마지막 샘플은 완전히 새로운 것입니다. 탐지를 피하기 위해 Tiny Encryption Algorithm (TEA)을 사용합니다.

GandCrab을 분석하는 것은 특정 새로운 탐색으로 유용하지 않습니다 악성 코드일부 연구자들은이를“랜섬웨어의 새로운 왕”이라고 불렀습니다. 최신 맬웨어가 새로운 사이버 보안 환경에 어떻게 재조정되는지에 대한 명확한 예입니다. 이제 GandCrab의 진화에 대해 더 깊이 들어가 봅시다.

역사

간드 크랩 v1

2018 년 XNUMX 월에 발견 된 GandCrab의 첫 번째 버전은 고유 키로 사용자 파일을 암호화하고 DASH 암호화 통화에서 몸값을 강탈했습니다. 이 버전은 RIG EK 및 GrandSoft EK와 같은 익스플로잇 키트를 통해 배포되었습니다. 랜섬웨어는“% appdata % Microsoft” 폴더 및 시스템 프로세스에 주입 nslookup.exe.

처음 연결되었습니다 pv4bot.whatismyipaddress.com 감염된 시스템의 공개 IP를 찾은 다음 실행 nslookup 네트워크에 연결하는 프로세스 gandcrab.bit a.dnspod.com 를 사용하여 ".비트" 최상위 도메인.

이 버전은 빠르게 사이버 공간으로 확산되었지만 XNUMX 월 말에 승리가 중단되었습니다. 암호 해독기가 만들어 온라인 상태가되었으므로 피해자는 가해자에게 몸값을 지불하지 않고 파일을 해독 할 수 있습니다.

간드 크랩 v2

사이버 범죄자들은 ​​그 대답에 오래 머물지 않았습니다. 일주일 안에 GandCrab 버전 2가 사용자를 공격했습니다. 새로운 암호 알고리즘을 사용하여 해독기를 쓸모 없게 만들었습니다. 암호화 된 파일의 확장명이 .CRAB이고 하드 코드 된 도메인이 ransomware.bit 및 zonealarm.bit. 이 버전은 XNUMX 월에 스팸 이메일을 통해 전파되었습니다.

간드 크랩 v3

다음 버전은 XNUMX 월에 피해자의 데스크탑 월페이퍼를 몸값으로 변경할 수있는 새로운 기능을 제공했습니다. 데스크탑과 몸값 배너 사이의 끊임없는 전환은 피해자들에게 더 심리적 압력을 가하기위한 것이 었습니다. 또 다른 새로운 기능은 RunOnce 자동 실행 레지스트리 키입니다.

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC : 문서 및 설정 관리자 응용 프로그램 데이터 Microsoftyrtbsc.exe

간드 크랩 v4

마지막으로, 새로운 버전의 Gandcrab v4는 XNUMX 월에 새로운 암호화 알고리즘을 포함하여 다양한 중요 업데이트를 제공했습니다. Comodo 분석가가 발견 한 바와 같이 맬웨어는 이제 TEA (Tiny Encryption Algorithm)를 사용하여 대칭 암호화 기반에서 David Wheeler와 Roger Needham이 개발 한 가장 빠르고 효율적인 암호화 알고리즘 중 하나 인 탐지를 피합니다.

또한 모든 암호화 된 파일은 이제 CRAB 대신 .KRAB 확장자를 갖습니다.

또한 사이버 범죄자들은 ​​랜섬웨어 보급 방식을 바 꾸었습니다. 이제는 가짜 소프트웨어 크랙 사이트를 통해 확산됩니다. 사용자가 이러한 "스터핑"크랙을 다운로드하여 실행하면 랜섬웨어가 컴퓨터에 떨어집니다.

다음은 그러한 가짜 소프트웨어 크랙의 예입니다. Crack_Merging_Image_to_PDF.exe실제로 GandCrab v4입니다.

사용자가이 파일을 실행하면 어떻게되는지 자세히 살펴 보겠습니다.

후드

위에서 언급했듯이 간디 크랜시웨어 탐지를 피하기 위해 강력하고 빠른 TEA 암호화 알고리즘을 사용합니다. 암호 해독 루틴 함수는 GandCrab 일반 파일을 가져옵니다.

암호 해독이 완료되면 원본 GandCrab v4 파일이 삭제되어 실행되어 공격대가 시작됩니다.

먼저, 랜섬웨어는 CreateToolhelp32Snapshot API를 사용하여 다음 프로세스 목록을 확인하고 실행중인 프로세스를 종료합니다.

그런 다음 랜섬웨어는 키보드 레이아웃을 확인합니다. 러시아인 인 경우 GandCrab은 즉시 실행을 종료합니다.

URL 프로세스 생성

중요하게 GandCrab은 특정 임의 알고리즘을 사용하여 각 호스트에 대한 URL을 생성합니다. 이 알고리즘은 다음 패턴을 기반으로합니다.

http://{host}/{value1}/{value2}/{filename}.{extension}

악성 코드는 패턴의 모든 요소를 ​​일관되게 생성하여 고유 한 URL을 생성합니다.

오른쪽 열에서 멀웨어에 의해 생성 된 URL을 볼 수 있습니다.

정보 수집

GandCrab은 감염된 시스템에서 다음 정보를 수집합니다.

그런 다음 확인 안티 바이러스 달리는…

… 시스템에 대한 정보를 수집합니다. 그런 다음, 수집 된 모든 정보를 XOR로 암호화하여 Command-and-Control 서버로 보냅니다. 중요한 것은 러시아어에서 외설적 인 언어 인 암호화 "jopochlen"키 문자열에 사용됩니다. 그것은 러시아의 악성 코드 발생에 대한 또 하나의 분명한 신호입니다.

키 생성

랜섬웨어는 Microsoft 암호화 공급자 및 다음 API를 사용하여 개인 및 공개 키를 생성합니다.

암호화 프로세스를 시작하기 전에 맬웨어가 일부 파일을 검사합니다.

… 및 암호화 중 폴더를 건너 뛸 수 있습니다.

랜섬웨어가 제대로 작동하려면 이러한 파일과 폴더가 필요합니다. 그 후 GandCrab은 피해자의 파일을 암호화하기 시작합니다.

대속

대속

암호화가 끝나면 GandCrab은 몸값 메모 인 KRAB-DECRYPT.txt 파일을 엽니 다.

피해자가 가해자의 지시를 따르고 TOR 사이트로 이동하면 카운터와 함께 몸값 배너를 찾을 수 있습니다.

지불 페이지 내용은 몸값을 지불하는 방법에 대한 자세한 지침입니다.

Comodo 사이버 보안 연구팀은 GandCrab 커뮤니케이션 IP를 추적했습니다. 아래는이 IP 목록에서 상위 XNUMX 개 국가입니다.

GandCrab은 전 세계 사용자에게 인기를 얻었습니다. 다음은 맬웨어의 영향을받는 상위 XNUMX 개 국가 목록입니다.

Comodo Threat Research Lab의 책임자 인 Fatih Orhan은“우리의 분석가를 찾은 결과, 멀웨어가 사이버 보안 공급 업체의 대응책에 신속하게 적응하면서 빠르게 변화하고 진화하고 있음을 분명히 알 수 있습니다. “당연히, 우리는 사이버 보안 분야의 모든 프로세스가 격렬한 촉매 작용을하는 시대를 맞이하고 있습니다. 멀웨어는 수량뿐만 아니라 즉시 모방 할 수있는 능력으로 빠르게 성장하고 있습니다. 에 코모도 사이버 보안 2018 년 XNUMX 분기 위협 보고서랜섬웨어의 다운 사이징은 단지 힘의 재배치 일 뿐이며 가장 가까운 미래에 업데이트되고 더 복잡한 샘플에 직면하게 될 것입니다. GandCrab의 출현은 이러한 추세를 분명히 확인하고 보여줍니다. 따라서 사이버 보안 시장은 새로운 랜섬웨어 유형으로 다가오는 다가오는 공격에 직면 할 준비가되어 있어야합니다.”

Comodo로 안전하게 라이브하세요!

관련 자료 :

무료 평가판 시작 인스턴트 보안 점수를 무료로 받으십시오

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/