{
	"id": "b79a1513-c663-475a-844f-6956d3aa37f0",
	"created_at": "2026-04-06T00:12:48.34812Z",
	"updated_at": "2026-04-10T13:12:45.604029Z",
	"deleted_at": null,
	"sha1_hash": "09403dc74ec171c58fe3124deb2ab265f9c32d67",
	"title": "[단독] GandCrab v4.1.2 암호화 차단방법 (Kill-Switch) - Update(v4.1.3) - ASEC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 477209,
	"plain_text": "[단독] GandCrab v4.1.2 암호화 차단방법 (Kill-Switch) -\r\nUpdate(v4.1.3) - ASEC\r\nBy ATCP\r\nPublished: 2018-07-17 · Archived: 2026-04-05 13:21:48 UTC\r\n2018년 7월 9일 보안업체 Fortinet과 7월 13일 안랩에서 GandCrab v4.1.1에 대한 암호화 차단방법을 공유하\r\n였다. 이후 7월 17일 아래와 같이 GandCrab 4.1.2 버전이 새롭게 확인되었으며, 악성코드 내부에는 Fortinet\r\n과 AhnLab에 대해 조롱하는 듯한 문구가 삽입되었다.\r\n– “#fortinet \u0026 #ahnlab, mutex is also kill-switch not only lockfile ;)”\r\n[참고] https://twitter.com/MarceloRivero/status/1019259361259028480?s=09\r\nhttp://asec.ahnlab.com/1145\r\nPage 1 of 4\n\n4.1.2 버전에서는 단순히 해당 문구가 추가된 것 외에 암호화 차단의 핵심이 되는 *.lock 파일이름 생성 알\r\n고리즘이 복잡하게 변경되었다. 파일이름의 길이도 기존 8바이트에서 20바이트로 확장되었다. 안랩\r\nASEC에서는 변경된 파일이름 생성 알고리즘이 알려진 Salsa20 을 일부 수정한 Custom Salsa20 으로 확인\r\n하였으며, 이러한 정보를 바탕으로 새로운 암호화 차단툴을 제작하였다.\r\n아래의 그림은 새로운 버전 4.1.2에서 *.lock 파일을 생성하는 코드를 나타내며, 붉은색 표시부분이 새롭게\r\n추가된 것으로 기존의 볼륨정보 외에 Salsa20 함수를 통해 lock 파일이름을 생성하는 것을 알 수 있다.\r\n[그림-1] GandCrab v4.1.2의 lock 파일생성\r\nSalsa20 암호화 시 사용되는 Key, Vector 정보는 다음과 같다.\r\nKEY[] (16진수): 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F 10 01 02 03 04 05 06 07 08 09 0A 0B\r\n0C 0D 0E 0F 10\r\nVEC[] (16진수): 01 02 03 04 05 06 07 08\r\n입력값: “380978EA fortinet \u0026 ahnlab, mutex is also kill-switch not only lockfile ;)” (단, 380978EA 값은\r\n드라이브 볼륨을 통해 생성된 정보로 사용자마다 상이)\r\n변경된 파일이름만 특정 경로에 존재하면, 여전히 암호화 차단(Kill-Switch)이 가능함을 확인하였으며,\r\nlock 파일의 생성위치 및 사용방법은 기존과 동일하며 아래와 같다.\r\n폴더: CSIDL_COMMON_APPDATA\r\nhttp://asec.ahnlab.com/1145\r\nPage 2 of 4\n\nWin XP: C:Documents and SettingsAll UsersApplication Data\r\nWin 7, 8, 10: C:ProgramData\r\n파일: 8A5BA4B9C369950A5FEC.lock (예제)\r\n파일명은 루트 드라이브의 볼륨정보 + Custom Salsa20 알고리즘을 바탕으로 생성\r\n GandCrab_KillSwitch_(4.0_4.1.1_4.1.2_4.1.3).zip\r\n툴 사용방법\r\n첨부한 실행파일을 다운로드 받은 후, 오른쪽 마우스 클릭하여 '관리자 권한으로 실행'\r\n아래와 같이 해당 폴더(Common AppData)에 *.lock 파일이 생성됨을 확인\r\nV3제품에서도 현재 유포되는 GandCrab v4.1.2 유형에 대해 아래와 같이 진단/대응하고 있다. 안랩 ASEC\r\n은 국내에 유포 중인 GandCrab 랜섬웨어 관련하여 지속적인 모니터링을 수행하고 있으며, 새로운 버전\r\n도 V3제품에서는 사전 대응이 가능한 상황이다.\r\n행위진단: Malware/MDP.Ransom\r\n파일진단: Win-Trojan/Gandcrab04.Exp (2018.07.17.00)\r\nMD5: f153ac5527a3e0bc3e663b8e953cc529\r\n국내에 유포되는 GandCrab 랜섬웨어는 이력서 혹은 정상 프로그램으로 위장하여 사용자 클릭을 유도하는\r\n형태임을 확인하였으며, 아래와 같은 파일명들이 사용되고 있다.\r\n– 안녕하세요 입사지원하는 임정연입니다임정연임정연unclej.exe\r\n– micro_office_2010.exe\r\n– 쯔꾸르_게임.exe\r\n– 뿌요뿌요_테트리스.exe\r\n– 포토_리커버리.exe\r\nhttp://asec.ahnlab.com/1145\r\nPage 3 of 4\n\nSource: http://asec.ahnlab.com/1145\r\nhttp://asec.ahnlab.com/1145\r\nPage 4 of 4",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"Malpedia",
		"ETDA"
	],
	"origins": [
		"web"
	],
	"references": [
		"http://asec.ahnlab.com/1145"
	],
	"report_names": [
		"1145"
	],
	"threat_actors": [],
	"ts_created_at": 1775434368,
	"ts_updated_at": 1775826765,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/09403dc74ec171c58fe3124deb2ab265f9c32d67.pdf",
		"text": "https://archive.orkl.eu/09403dc74ec171c58fe3124deb2ab265f9c32d67.txt",
		"img": "https://archive.orkl.eu/09403dc74ec171c58fe3124deb2ab265f9c32d67.jpg"
	}
}