1.1 배 경

2018년 상반기부터 국내에 유포되기 시작한 GandCrab 랜섬웨어의 3.0 버전이 발견되었다.
이전 버전의 국내 감염 경로는 크게 두 가지로,
악성 웹 사이트에 삽입된 Magnitude 익스플로잇 킷을 통해 유포되는 방식과
악성 메일의 첨부파일 형태로 유포되는 방식이 있다.
새로운 버전인 3.0 버전은 악성 메일의 첨부파일 형태로 유포되고 있으며,
국내를 대상으로 유포되는 사례도 최근 발견되었다.

최근 발견된 3.0 버전의 악성 행위는 기존의 2.1 버전과 대부분 동일하지만
재부팅 후 바탕화면 변경기능이 추가되었다.

메일에 첨부되어 있는 파일을 실행하면
파일 내부에 암호화하여 가지고 있던 DLL 파일을 복호화 후 메모리에 로드하여 사용한다.
모든 악성 행위는 복호화 모듈에서 실행되기 때문에
실행 전 암호화 상태에서는 악성 행위를 확인하기 어렵다.

감염된 시스템의 운영체제 버전을 확인하여 Windows Vista 이상일 경우
악성코드 프로세스의integrity level 이 Low integrity 이하인지 확인한다.
만약 그 이하라면 아래 그림과 같이 시스템 권한으로 프로세스를 재실행 한다.

3. 대 응

1. MS 제공하는 보안 업데이트를 자동으로 설정한다.
2. 사용중인 소프트웨어 최신 업데이트 유지한다.
3. 백신 최신 업데이트 유지한다.
4. 주요 문서는 주기적으로 백업하고 물리적으로 분리하여 관리한다.
5. 신뢰할 수 없는 메일의 첨부파일은 실행을 금지한다.
6. 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결을 차단한다.