2018년 1월 발견된 이래 지속적으로 유포되어 수많은 피해자를 발생시켜온 랜섬웨어인 GandCrab은 유포되는 동안 전체 랜섬웨어 유포 건수의 50% 이상을 차지할 정도로 활발하게 유포되어왔으며, GandCrab 유포조직에 따르면 피해자들로 부터 20억 달러 이상의 금전을 지불하게 했을 정도로 전세계으로 큰 피해를 입혀왔다.
이로인해 세계적인 보안기업인 Kaspersky, BitDefender, Avast에서는 랜섬웨어 피해를 방지하기 위해 Europol과 같은 집행기관과의 협력을 통해 GandCrab 랜섬웨어의 복호화 툴을 개발하여 무료로 배포해왔다. 이번에 배포된 복호화 툴은 GandCrab 랜섬웨어 중 가장 최신 버전인 5.2 버전의 복호화 도구로 BitDefender에서 개발 및 배포하였다.
이번에 복호화가 가능해진 GandCrab 5.2는 BitDefender에 의해 기존 GandCrab 5.1의 복호화 도구가 발표된 직후 유포되기 시작한 랜섬웨어로 Custom Salsa20 알고리즘을 이용하여 파일을 암호화 하며, 암호화에 사용된 Salsa20 의 Key와 Nonce를 별도로 암호화 하여 저장하도록 변경하였으며, 악성코드가 분석되는것을 방지하기 위하여 다양한 동적분석 우회기능을 포함하도록 업그레이드 된 버전이다. 따라서 GandCrab 랜섬웨어가 서비스를 종료한 지금, 유포된 GandCrab 랜섬웨어의 대부분이 복호화가 가능해졌다. 복호화 도구는 nomoreransom.org에서 다운로드가 가능하다.
GandCrab 랜섬웨어는 복호화 툴이 공개되어 있지만 현재도 유포가 진행중인 sodinokibi, Clop 랜섬웨어와 같이 랜섬웨어 위협 자체는 종료되지 않았기 때문에 랜섬웨어 유포에 대한 주의와 인식에 대한 재고는 지속적으로 이루어져야 할 것으로 판단된다.
- GandCrab 5.2 Decryptor Download Link
https://www.nomoreransom.org/ko/decryption-tools.html#GandCrabV1V4andV5uptoV52versions
[참고]