비트디펜더가 갠드크랩 복구 툴 배포하지 2~3일만에 새로운 버전 갠드크랩 유포

[보안뉴스 김경애 기자] 갠드크랩 랜섬웨어 제작자와 이를 방어하기 위한 백신사들의 창과 방패 싸움이 치열하다. 지난 10월 25일 비트디펜더(Bitdefender)가 갠드크랩 v1, v4, v5에 대한 복구 툴을 배포한지 불과 2~3일 만에 북구 툴을 우회하는 새로운 버전이 유포되며 치열한 공방전이 이어지고 있다.


지난 10월 27~28일 갠드크랩(GandCrab) 랜섬웨어 제작자가 비트디펜더의 복구 툴을 우회하는 갠드크랩 v5.0.4를 배포한 정황이 포착됐다. 이에 대해 안랩은 “지난 29일 수집된 갠드크랩 v5.0.4를 비트디펜더로 복구해봐도 복구가 안 된다”며, “또한 안랩 V3 Lite를 삭제하기 위해 기존 방법과는 다른, 우회하는 방식으로 변경됐다”고 밝혔다.

사용자의 검색어와 관련된 제목의 압축파일을 다운로드하도록 유도한 후 실행되는 유포 방식은 동일하나, 행위 주체도 WMIC.exe에서 cscript.exe로 변경됐다. 이는 코드 실행 시 특정 프로세스 구조로 실행된다는 얘기다.


이에 대해 안랩은 “국내를 타깃으로 활발히 유포되고 있는 갠드크랩 v5.0.4 버전은 공개된 복구 툴로 정상적인 복구가 되지 않기 때문에 이용자는 확인되지 않은 다운로드는 자제해야 한다”며, “OS 보안 업데이트와 Anti-Virus 최신 업데이트를 진행해 감염을 예방하는 것이 필요하다”고 강조했다.

치열한 공방이 계속되고 있는 것에 대해 안랩은 “안랩을 협박한 문구는 이전부터 있었으며, 이에 대해 특별히 악성코드 제작자나 제작에 대한 다른 의미를 두지 않고 있다”며 “일반적으로 신규 악성코드가 발생했을 때와 같이 대응하는 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>