안랩은 특정 인터넷 사이트 접속만으로 감염되는 '갠드크랩(GandCrab) 2.1' 랜섬웨어에 대한 감염 방지 대응법을 20일 공개했다.
안랩은 갠드크랩 2.1을 분석한 결과, 특정 데이터를 포함한 파일이 폴더에 존재하면 해당 폴더를 암호화를 하지 않는 '킬 스위치' 조건을 발견했다. 공격자가 백신의 여러 탐지 기법의 하나를 우회하기 위해 설계한 조건으로 추정된다.
안랩은 이를 역이용해 해당 데이터 파일이 특정 드라이브의 첫 번째 지점에 있으면 해당 드라이브 전체가 암호화되지 않는 것을 확인했다. 안랩은 현재 ASEC 블로그에 이 데이터 파일을 제공 중이다.
사용자는 안랩이 제공하는 데이터 파일을 내려받아 각 드라이브의 루트 경로(C: 또는 D: 등)에 복사해두면 갠드크랩 2.1에 감염되더라도 해당 드라이브 내 파일이 암호화되는 것을 막을 수 있다.
한창규 안랩 시큐리티대응센터장은 "이 방법을 적용하면 당장 대규모 피해는 막을 수 있겠지만, 공격자는 또 다른 우회 방법을 찾아 감염을 유도할 것으로 추정된다"며 "컴퓨터 사용자는 백신 업데이트나 주요 소프트웨어 패치 등 생활 보안 수칙을 반드시 준수해야 한다"고 말했다.