본문 바로가기
IT/보안

GandCrab v5.2 예방법 v5.1 이하 복구 방법

by 그래도널 2019. 4. 15.
728x90

최근 아래와 같은 메일 패턴으로 랜섬웨어가 퍼지고 있다.


메일을 받았는데 다음과 같은 메일이라면 파일을 궁금해할 필요도 없이 삭제해야한다.



1번 패턴 - 저작권 이미지 사용 관련 메일


안녕하세요

현재 사용하고 있으신 이미지들중 제가 제작한 이미지는

무료로 배포되는 이미지가 아니기에 다른 동의없이 사용이 불가합니다

아마도 모르고 실수로 그러셨을꺼라고 생각해요

저도 그런 실수를 저질렀던적도 있거든요

이게 생각보다 작은곳에서도 문제가 되는 경우가 꽤 많습니다

이런저런 법적 이야기를 하려고 메일드린건 아니에요

그냥 사용을 금해주셨으면합니다

원본이미지랑 사용중이신 이미지 같이 pdf로 정리해서 보내드려요

확인하시고 조치부탁드리겠습니다

이게 작은것같아도 개인작가로 활동하는 저한테는 신경을 써야하는부분이라

부탁드리겠습니다

그럼 좋은하루되시구요

감사합니다



2번 패턴 - 국세청 사칭


대한민국 국세법 제 211조에 따라 귀하는 피고인 자격으로 심문을 위해2019년4월2일 12:00까지 국세청으로 출두해야 합니다. (주소: 세종특별자치시 국세청로 8-14 )
 
신분을 확인할 수 있는 여권이나 서류를 지참하십시오.
지정된 기간에 출두하지 못할 사유가 있을 경우, 이메일이나 다른 방법으로 통보해 주십시오.
 사건의 추가 정보는 본 전자 편지에 첨부됩니다. 귀하는 서류에서 본 소환에 모든 정보와 발생 원인을 알게 되며, 또한 귀하의 사건 조사관에 대한 연락처를 알게 됩니다.
 

대한민국 국세법 제177조에 따라, 피고인 자격으로 세법 위반에 대한 사건으로 소환되는 자가 특별한 사유없이 출두하지 않거나 출두를 거부할 경우 형사적 책임을 수반합니다.

법 명령에 대한 불복종이나 정부 조사자의 요구에 따르지 않을 경우 대한민국 형사법 제18.5조1항에 따라 책임을 수반합니다.

*우리나라에는 국세법 211조도 없을뿐더러(소득세법에 있다.) 설령 세법을 어겼더라도 국세청으로 갈 필요없다. 친절하게 국세청 직원이 집으로 내방하던가. 경찰서로 연행되가거나(근데 불법세금체납자 잘만 살잖수?). 거기에 신분 확인에 필요한 서류를 보았을때 의심을 해봐야 한다. 우리나라는 여권으로 신분확인하지 않는다. 절대 속지마라. 내용을 잘 읽어보면 함정이 숨어 있다. 피싱메일은 당황하면 당하는 것이다.


3번 패턴 - 팩스


WiseFax에서 인사 드립니다. – 이메일로 온라인 팩스를 보내고 받으십시오.

귀하는 팩스로  전자 메시지를 받았습니다.[발송자 사업 번호- 82-2-584-3257 회사 이름-한국약학회발송자-이용복]

귀하에게 팩스로 34페이지가 발송됐습니다발송날짜 201943 19:34

전자 팩스 코드 번호 - [WiseFax-0304201958032204]

귀하에게 발송된 서류는  편지에 동봉되어 있으며 서류를 보기 위해서는 반드시 Microsoft Office Word 사용해야 합니다.

WiseFax 이용해 주셔서 감사합니다!.

 

Copyright © 2019 Vanaia

*온라인으로 팩스를 보냈으니 받으라고하고 첨부파일 클릭을 유도한다. 내가 모르는 팩스를 메일로 받는다는게 이상하지만 사람들은 일단 클릭하고 본다. 팩스 받을데도 없는데 클릭하면 흑우 인증하는 거다.



그밖에도 헌법재판소 사칭, 경찰 사칭 등의 피싱메일들이 있다. 피싱메일은 유심히 읽으면 이상한 점을 확인할 수 있으니 언제나 정신없이 메일을 보지 않도록 하자.(피싱전화도 옆에서 자는 아이를 데리고 있다고 하는 경우도 있다.)



*실제로 받은 메일 샘플. 

 본문 내용도 한글이고 파일명도 한글이라 속아 넘어가기 쉽다.

 메일 내용을 유심히 보면 뭔가 이상한 느낌이 나는데 그냥 보면 자신도 모르게 파일을 더블클릭하게 된다.


PDF로 속이도록 파일 아이콘이 PDF 아이콘으로 바뀌어 있다.

자세히 보면 파일 이름 과 수정된 일자 사이에 말줄임표(...)가 있다.

실제 이 파일 이름은 

원본이미지..pdf                                                                                    .exe 이다

실행파일인것을 감추기 위해서 띄어쓰기로 속이고 있는 것이다. 파일 유형을 자세히 보면 문서 파일이 아니라 응용프로그램으로 되어 있는것을 볼 수 있다.



필자의 테스트 장비에서 실행을 해보았다.

오 ... 저렇게 뜨면 끝난거다.

문서 파일들은 모두 암호화 되어서 바이바이

현재 v5.2는 복호화툴이 없어서 걸리면 포맷하고 재설치 해야 한다.

(아니면 복호화툴 나올때까지 봉인해놓던가)



친절하게 암호화된 폴더마다 파일이 들어가 있다.

비트코인 내놓으면 풀어준다는데 풀어줄지 안풀어줄지는 도박과 같다.



이렇게 암호화된 경우에는 답이 없다. 테스트장비이니 망정이지 주력으로 사용하는 PC였다면 .... 생각하기도 싫다


걸리면 피해가 막심한 랜섬웨어 어떻게 예방해야 할까?


랜섬웨어 예방법


1. 의심스러운 메일은 절대 열어보거나 파일을 클릭하지 않는다.

>> 나에게 보내지 않은 메일, 수신자가 많은 메일, 이상한 메일주소에서 온 메일


2. 파일 이름에 말줄임표가 있거나 아이콘이 비정상적이거나 한 파일은 절대 실행 금지


3. 윈도우 및 백신은 항상 최신 업데이트 유지

(테스트시 윈도우 10에서 GandCrab V5.2 파일을 막아주는걸 확인 했다. 실행안되면 말아야 하는데 안된다고 굳이나 실행시키는 사람은 스스로 랜섬웨어 걸려주세요 하는 짓이다.)


만약 랜섬웨어에 걸렸다면 어떻게 해야할까.


https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/


비트디펜더에서 제공하는 사이트에서 파일을 받아서 복호화 하면 된다.



2019년 2월 19일 Bitdefender에서 Gandcrab v1, v4, v5에 대한 복호화툴을 배포하였습니다.

해당 복호화툴은 아래 Bitdefender​에서 다운로드할 수 있으며, 모든 파일이 정상적으로 복구되는 것을 확인하였습니다.

 

이전 복화툴은 v5.0.3까지 가능했지만 이번에 나온 것은 업데이트되어 v5.0.4과 v5.1도 복구가 가능합니다.

 

하지만, 랜섬노트인 메모장 파일이 없거나 메모장이 깨져서 나오는 초기버전인 v5.0의 경우 복구가 불가능한 경우도 있습니다.

​따라서, 랜섬노트에서 랜섬웨어의 버전을 확인해주시길 바랍니다. 


​또한, Bitdefender​ 서버와 연결하여 검증 작업을 하기 때문에 네트워크가 연결되지 않은 경우 복구를 진행할 수 없습니다.

 

본 과정은 Bitdefender​에서 제공한 프로그램으로 진행하며, 방법만 제시할 뿐 복호화 되지 않거나 파일이 훼손되는 것에 대해 책임지지 않습니다.

 

※​ 복구 가능한 확장자명 ※​

랜섬노트 - GDCB-DECRYPT.txt , KRAB-DECRYPT.txt​ , [변경된 임의의 확장자]-DECRYPT.txt ​                  

변조된 확장자명 - .GDCB  .KRAB  .임의의 영문자 조합 5~10자리

 

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

 

-> 사이트에 들어가 프로그램을 다운로드 받습니다.


 

 

 

이용약관을 읽어보신 후에 동의 버튼을 누른 후 다음으로 넘어갑니다.

 


 

현재 복구 가능한 버전을 알려주고 있습니다. OK버튼을 누른 후 넘어갑니다.

 

 

 

 

프로그램의 초기화면입니다. 감염된 파일이 있는 경로를 설정해주거나 Scan entire system을 클릭하여 모든 파일을 검사할 수 있습니다.  

Backup files는 감염된 파일들을 삭제하지 않는다는 옵션입니다.

설정을 하고 다음으로 넘어갑니다.

 

 


 

복구에 실패했을 때 나오는 화면입니다. 랜섬노트가 없거나 네트워크가 연결되어 있지 않은 경우 실패할 수 있습니다.

해당 경우, log 파일을 Bitdefender 쪽으로 보내주셔야 정확한 파악이 가능합니다.​

 

 


 

복구에 성공하면 위와 같은 화면이 나오며 파일들이 복구가 된 것을 확인할 수 있습니다.