랜섬웨어 전체 시장의 40% 가량을 차지하며 2018년 초 데뷔 이후 지속적으로 승승장구하고 있는 랜섬웨어 그랜드크랩(GrandCrab). 등장 1년여 만에 전 세계에서 가장 파괴적인 존재로서 이름을 날리고 있습니다.
그랜드크랩은 많은 부하들을 갖고 있습니다. GDCB, KRAB, CRAB virus, GrandCrab 2, GrandCrab 3, GrandCrab 4, GrandCrab 5 등등이에요. 이것들은 모두 RSA 2048과 AES 256 알고리즘을 사용하여 유저 데이터를 인코딩합니다.
현재 가장 공격적인 버전은 GrandCrab 5 시리즈입니다. 그리고 배포는 RIG, GradSoft, Magitude, Fallout exploit kits , 그리고 크랙, 키젠, 가짜 업데이트 등 다양한 방식으로 이루어집니다.
희한하게도 그동안 그랜드크랩의 주요 타겟들 중에는 유독 이탈리아 유저들이 있어 왔는데요, 이탈리아 버전은 다음과 같습니다 :
결제 알림을 가장한 이메일(특징 : 엑셀 파일 첨부)의 형태로 유저들을 찾아갑니다.
첨부된 엑셀 파일을 클릭하면, 온라인 미리보기가 불가능하니 다운로드 받으라는 메시지가 뜹니다.
부주의한 호기심에 이 다운로드 버튼을 클릭하면, OS 기본 언어를 기반으로 위치를 분석하는 스크립트가 돌아가 해당 컴퓨터가 이탈리아에 있는 것인지 확인합니다.
컴퓨터가 이탈리아에 있는 게 아니면, 아무 일도 안 일어 나구요ㅋ
이탈리아에 있다? 슈퍼 마리오 브라더스 이미지가 나오면서 파워쉘 코드가 멀웨어를 차곡차곡 다운 받기 시작합니다.
결과는 둘 중 하나, 1. GrandCrab이 사용자 데이터 전부 암호화, 2. Ursnif 가 사용자 은행 및 온라인 결제 민감 정보 모두 유출.
이것이 드디어 프랑스 유저들을 위한 버전으로도 지난 주에 출시되었다고 하네요 _ㅎㅎ 프랑스 버전 :
유저는 이력서 한 통을 이메일로 받게 됩니다. 미리보기에 예쁘장한 한 여성의 사진과 함께요.
프랑스 버전에서는 슈퍼 마리오 이미지는 없고, 첨부된 이력서 파일을 누르면 그냥 바로 감염이 진행되는 것 같습니다.
프랑스에 있거나, 프랑스 여행 예정인 분들은 유의하시면 좋겠네요.
그렇다고 이탈리아, 프랑스 외 지역 유저들이 안심할 수 있는 건 아닙니다. 두 지역을 위한 맞춤형 버전ㅋ이 있는 것이지, 다른 타겟들을 위한 형태도 다양하게 있으니까요. 유럽 경찰과 연계된 Bitdefender 팀 등의 조사자들은 이 그랜드크랩 개발팀이 아주아주 열심히 일한다고, 그들의 업무 퍼포먼스에 대해선 꽤 높게 평가하고 있어요😂😂😂
그렇다면 예방 에 도움이 될 방법도 몇 가지 전합니다 :
- 잘 모르는 이메일을 받으면 제대로 확인부터.
- 핵심 데이터들은 늘 백업.
- 좋은 보안 프로그램 사용.
- No More Ransom project 의 해독기. 참고로, 이 해독 프로그램이 먹히는 그랜드크랩 버전도 있고 안 먹히는 버전도 있다니 이게 완벽한 해결책은 아닙니다.
이 외에도 랜섬웨어 예방/퇴치 방법들은 많이 알수록, 그리고 늘 조심하시면 좋을 것 같아요! 이상입니다.