티스토리 뷰


요새 유행하는 갠드크랩 v4 (.KRAB) 랜섬웨어를 찾아서 좀 돌아다닌 결과, 30분 전에 감염되고 말았네요.

(2018년 7월 10일 00시 47분)


test 라는 이름을 가진 파일들이 살아남지 못했네요.


테스트 환경은 윈도 업데이트를 제대로 하지 않은 윈도8.1 + 인터넷 익스플로러입니다.


어디에서 걸렸는지는 비밀입니다만... 드라마도 다시 보고 영화도 다시 보고 하는 뭐 그런 곳이에요.


테스트 환경은 실제가 아닌 가상이니 걱정하지 않으셔도 되요^^


https://cafe.naver.com/malzero/153233

(최초 작성 일시 : 2018.07.10. 01:15)

댓글
  • 프로필사진 PB 저도 걸려서 걱정입니다. 걸린시각과 인터넷 기록을 대조해봐도 걸릴만한 곳은 없었는데, 하루빨리 복원툴이 나오면좋겠네요.. 2018.07.12 21:15 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 주로 걸리는 곳은 영화, 드라마, 애니메이션 스트리밍(다시보기) 사이트, 웹툰 및 만화 보기 사이트입니다. 2018.08.29 20:14 신고
  • 프로필사진 mack 이 랜섬웨어는 자기 복제 기능이 있는지요? 2018.08.29 17:38 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 자기 복제 기능이 정확히 무엇을 말하는 것인지요? 랜섬웨어에서 자기 복제라는 용어는 잘 쓰지 않는지라... 2018.08.29 20:13 신고
  • 프로필사진 mack 설치된 랜섬웨어 프로그램이 아닌 감염된 PC의 다른 데이터 파일 교환 등으로 다른 PC로 감염을 일으킬 수 있는지가 궁금합니다. 최소에 설치된 랜섬웨어 파일이 제거 되더라도 이미 복제되고 스스로 배포하여 다른 PC로 전염시키는 랜섬웨어가 있다고 들었는데, KRAB이 그러한 랜섬웨어인지 궁금해서 질문 드렸습니다. 2018.08.30 09:36 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 확장명이 KRAB인 GandCrab(갠드크랩) 랜섬웨어는 최초 감염 이후, 파일의 암호화가 끝나면 자폭(?)합니다. 이와 같은 메카니즘은 갠드크랩 랜섬웨어뿐만 아니라, 현재 유행하고 있는 대부분의 랜섬웨어가 해당됩니다.

    랜섬웨어에서 타 PC가 감염되는 경우는 감염된 PC와 타 PC가 네트워크로 연결되어 있고 감염된 PC에서 타 PC의 파일에 대하여 읽기와 쓰기 권한이 부여된 소위 말하는 '공유 폴더'로 되어 있는 경우가 있습니다. 이는 갠드크랩 랜섬웨어만의 특징은 아니며, 거의 모든 랜섬웨어의 특징이기도 합니다.

    랜섬웨어에 의하여 파일이 암호화되면서 동시에 공유 폴더를 통해 연결된 타 PC의 파일까지 같이 암호화되는 것이라서 질문자 님이 말씀하신 자기 복제의 경우에 해당하지는 않습니다.

    갠드크랩 랜섬웨어는 랜섬웨어의 활동이 끝나면 자폭하는 관계로, 좀비처럼 다시 살아나거나 스스로를 복제하여 활동하지는 않습니다. 애초에 파일리스(Fileless) 랜섬웨어에 해당하기 때문에, 기존 랜섬웨어와 달리 감염을 일으키는 숙주 파일이란게 없기도 합니다.
    2018.08.30 12:24 신고
  • 프로필사진 mack 궁금증이 해결되었습니다. 친절한 답변 감사합니다. 최근에 야간에 사람이 없을 때, 인터넷 연결되어 있고 전원이 켜져 있었던 회사 PC가 KRAB에 감염되었는데 도무지 원인을 알 수가 없습니다. 다른 PC들은 멀쩡하고 1 대만 감염되었는데, 이게 수일간의 잠복기가 있다면 이해가 되겠는데, 며칠간 웹서핑도 없었고, 이메일 등 확인도 없는 PC였는데, PC 사용 후 4~5시간 지난 후 혼자서 갑자기 감염될 수 있는지 의아합니다. 2018.08.31 10:57 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 갠드크랩 랜섬웨어는 잠복기가 없는 것으로 알려져 있습니다.

    최근에 발견되고 있는 갠드크랩 랜섬웨어는 기존의 메일 등의 유포가 아니라 Rundll32.exe를 이용하거나 윈도 파워셸(Windows PowerShell)을 이용한 유포 방식으로 바뀌고 있습니다. 외부 서버에 등록된 DLL 모듈을 받아와 암호화를 실행하고 PC에는 감염 파일 자체가 생성되지 않는 파일리스(Fileless) 방식으로 감염시키죠.

    워낙에 갠드크랩 랜섬웨어의 감염 방식이 다양화되다 보니, 요새는 그 원인을 찾기가 매우 어렵습니다. ㅜㅜ

    자세한 사항은 보안업체 체크멀 블로그를 참고하시기 바랍니다.
    http://blog.checkmal.com
    2018.08.31 13:03 신고
  • 프로필사진 심안 오늘감염 된건 둘쨰치고라도 이거 걸린시점에 감염된파일만 삭제하면 문제가없나요 ? 새로 만드는 파일들은 안전한거죠? 2018.09.09 05:07 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 안녕하세요!

    갠드크랩 랜섬웨어에 감염되어 변조된 파일들의 경우 그 자체로는 위험하지 않습니다. 따라서 해당 파일들이 필요없다면 삭제하시거나, 미래 언젠가 나올 복구 도구를 기대하신다면 텍스트파일로 된 랜섬노트와 함께 파일들을 따로 백업해두셔도 됩니다.

    다만, 이미 한번 감염된 PC들은 재감염이 될 가능성이 매우 높습니다. 그 이유는 이미 해당 PC는 랜섬웨어들이 서식하기 좋은 환경이 조성되어 있기 때문입니다.

    따라서 먼저, 윈도 업데이트를 최신으로 유지하시고, 인터넷 익스플로러보다는 구글 크롬 등을 쓰는 것을 권고드립니다. 특히, 윈도 업데이트를 하지 않는 PC는 랜섬웨어가 서식할 수 있는 가장 중요한 전제조건입니다.

    위에서 말씀드린 부분이 다 조치되었다는 가정 하에서는 새로 만드는 파일들은 이제 안전하다고 볼 수 있습니다.
    아울러 이 기회에 MZK를 이용하여 추가적인 검사를 한 번 진행해보시기 바랍니다.
    2018.09.09 13:33 신고
  • 프로필사진 꾸앵 이 랜섬웨어에 감염되었었는데요
    랜섬웨어 작동 도중에 제가 상당히 빨리 발견했는지 보자마자 바로 윈도우 시스템복원을 실행했습니다
    시스템복원 후에 보니까 C드라이브에 있던 파일들만 잠금되고 D드라이브에 있는 파일들은 멀쩡했는데요, 적당히 지켜보니 더 이상 파일들이 잠금되지는 않는 것을 확인했습니다.
    이미 잠금된 파일들 전부 전혀 필요 없는 파일입니다.
    더 이상 잠금되는 파일들이 없다면 지금 이게 랜섬웨어가 확실히 멈춘 게 맞나요? 잠금 된 파일들이 전혀 필요가 없다면 다 삭제한 후 특별한 조취는 취하지 않아도 되는걸까요? 물론 윈도우 업데이트나 기본적인 검사들은 할 예정입니다.
    2018.09.12 12:28 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 더 이상 암호화되는 파일이 없다면 갠드크랩 랜섬웨어의 활동이 중지된 것으로 판단할 수 있습니다. 백신이나 MZK를 통한 검사, 그리고 윈도 업데이트 외에는 특별히 조치할 부분은 없으나, 랜섬웨어로 인하여 윈도 시스템이 망가지는 사례가 종종 보이기에, 사용 중에 문제가 있다면 포맷을 권장합니다. 2018.09.14 13:47 신고
  • 프로필사진 유생 이걸 해결할수 있는 방법이 있나요? 업체에 문의하니까 200만원에서 300만원정도 달라고해서 MKZ를 이용해서 치료되나 해봤는데 치료도 안되고 있네요 ㅠㅠㅠ 2018.09.13 20:55 신고
  • 프로필사진 Favicon of https://la-nube.tistory.com BlogIcon la Nube 네 ㅜㅜ 현재로서는 갠드크랩 랜섬웨어는 해결할 방법이 없습니다. MZK로는 랜섬웨어 그 자체를 제거할 수 있으나, 이미 랜섬웨어에 의해 암호화된 파일들을 복구할 수 없습니다. 유일한 방법은 랜섬웨어 제작자에게 거액의 돈을 송금하는 것인데, 먹튀의 가능성도 있고, 오류 등으로 100% 복구된다고 보장할 수도 없습니다. ㅠㅠ 2018.09.14 13:48 신고
댓글쓰기 폼