기술이 발전하면 그걸로 쓸데없는 짓거리를 하는 사람도 많아진다는 게 당연한 법칙이기는 하다만, 기존에 EXE 파일 형태나 그 바로가기 형식으로 유포됐던 랜섬웨어들이 점점 공격 방향을 이상하게 바꿔가기 시작했다.

이 중 GandCrab이라는 놈은 자바스크립트로 공격을 한다. 여러 변종이 있긴 하나 사용자가 해당 자바스크립트 파일을 받아서 열면 서버에서 랜섬웨어 바이너리를 다운로드받아 파일로 변환시킨 후 공격하는 식이었는데, 가장 최근 버전으로 알려진 5.0.4 버전에서는 자바스크립트 파일 자체를 그냥 랜섬웨어 바이너리로 변환시킨다.

북한 폰트 다운로드..?

유포되는 곳을 보면 보통 이런 식이다. 뭘 다운로드하려는 사람이 포럼에 글을 남기는 척, 관리자가 그걸 답변해주는 척 악성 파일의 링크를 거는 것이다. 참 유치한 방법이기는 한데 속아넘어가는 사람들이 있는 모양이다. 신기한 건 다시 이 게시글을 확인해보려고 새로고침을 하면 전혀 엉뚱한 페이지가 나타난다. 추적을 차단하기 위한 일종의 방법이라고 볼 수 있겠다.

감염된 컴퓨터

그 파일을 받아 실행해서 감염되면? 뭐 자원 사용률 치솟고, 파일이 안 열리기 시작하다가 결국은 이렇게 된다. 암호화된 파일 뒤에 붙는 저 확장자는 랜덤하게 바뀐다.

지불 방법은 다크 넷 페이지에서 비트코인과 DASH라는 암호화폐를 이용하고, 며칠 안에 돈 안 내놓으면 가격이 얼마 뛴다는 생 양아치스러운 방식을 고수하고 있다.

.ani, .bat, .cab, .cmd, .cpl, .CRAB, .cur, .diagcab, .diagpkg, .dll, .drv, .exe, .gandcrab, .hlp, .icl, .icns, .ico, .ics, .idx, .key, .KRAB, .ldf, .lnk, .lock, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .zerophage_i_like_your_pictures 확장자를 가진 파일은 암호화하지 않는다고 한다. 아마 저것까지 다 암호화해버리면 시스템 부팅이 안 돼서 몸값을 받을 경로가 사라지기 때문인 것으로 보인다.

예방하는 방법은.. 이런 건 인터넷에서 직접 파일을 다운로드받고 실행해야 작동되는 것이기 때문에 의심스러운 파일이나 크랙 파일 같은 건 받지 말고, 안티랜섬웨어 프로그램을 깔아서 파일의 대량 훼손을 차단하는 것 밖에 없다.

복구? TeslaCrypt 같이 제작자가 마스터 키를 직접 공개한 경우나, 제작자가 경찰에 잡혀서 마스터 키가 강제로 공개되거나 해서 복호화 툴이 만들어진 경우를 빼면 거의 불가능 수준에 가깝다. 이번에 Bitdefender 사에서 GandCrab의 복호화 툴을 내놓기는 했는데 내가 실험한 환경에서는 복구가 안 됐다. 아마 또 다른 변종인 모양이다.