갠드크랩(GandCrab) v5.0이 발견된지 몇 일 되지 않아 또 다시 갠드크랩(GandCrab) v5.0.1 및 v5.0.2가 발견되었습니다.
GandCrab v5.0.1은 다른 정상 프로세스에 인젝션 되어 실행되는데, 특정 조건에 따라 인젝션 대상이 달라집니다.
예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 합니다.
[그림 1] 조건에 따른 인젝션 대상 프로세스
다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부입니다.
[그림 2] ‘wermgr.exe’ 인젝션 코드 일부
인젝션 완료 후에는 NtResumeThread 함수를 이용하여 인젝션한 GandCrab를 실행합니다.
[그림 3] 인젝션된 악성 코드 실행
GandCrab v5.0에서는 고정된 5자리의 랜덤한 확장명을 사용했지만, GandCrab v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용하도록 변경되었습니다.
[그림 4] 5~10자리 랜덤 문자열 생성 코드
[그림 5] ‘.fxguxhxujo’ 확장자로 암호화된 파일 목록
또한 GandCrab v5.0에서는 한국어가 적용된 ‘.HTML’형식의 랜섬노트를 사용하던 것이 새로운 특징이었으나, v5.0.1에서는 다시 ‘.TXT’형식으로 변경되었습니다.
‘[5~10자리 랜덤 문자열]-DECRYPT.txt’ 형식으로 생성됩니다.
[그림 6] ‘.TXT’형식의 랜섬노트
GandCrab v5.0.1의 뒤를 이어 발견된 GandCrab v5.0.2에서는 코드 내 버전 정보가 v5.0.2로 명시되어 있는 것 이외에는 v5.0.1과 달라진 점이 없습니다.
[그림 7] 코드 내 명시되어 있는 버전 번호
현재 알약에서는 갠드크랩(GandCrab) 랜섬웨어 변종들에 대해 Trojan.Ransom.GandCrab으로 탐지중에 있습니다.
이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견! (0) | 2018.10.04 |
---|---|
암호화된 doc 파일이 포함된 악성 메일 유포 주의 (0) | 2018.10.01 |
퍼블리셔(PUB) 파일이 첨부된 악성메일 주의 (0) | 2018.09.28 |
갠드크랩(GandCrab) v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해 (0) | 2018.09.27 |
명절 연휴를 앞두고 더욱 기승을 부리는 택배 사칭 스미싱 주의! (0) | 2018.09.21 |
댓글 영역