포스팅 내용

악성코드 분석 리포트

갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중!

갠드크랩(GandCrab) v5.0이 발견지 몇 일 되지 않아 또 다시 갠드크랩(GandCrab) v5.0.1 및 v5.0.2가 발견되었습니다.


GandCrab v5.0.1은 다른 정상 프로세스에 인젝션 되어 실행되는데, 특정 조건에 따라 인젝션 대상이 달라집니다. 


예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 합니다. 


[그림 1] 조건에 따른 인젝션 대상 프로세스


다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부입니다. 


[그림 2] ‘wermgr.exe’ 인젝션 코드 일부


인젝션 완료 후에는 NtResumeThread 함수를 이용하여 인젝션한 GandCrab를 실행합니다. 


[그림 3] 인젝션된 악성 코드 실행


GandCrab v5.0에서는 고정된  5자리의 랜덤한 확장명을 사용했지만, GandCrab v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용하도록 변경되었습니다. 


[그림 4] 5~10자리 랜덤 문자열 생성 코드 



[그림 5] ‘.fxguxhxujo’ 확장자로 암호화된 파일 목록


또한 GandCrab v5.0에서는 한국어가 적용된 ‘.HTML’형식의 랜섬노트를 사용하던 것이 새로운 특징이었으나, v5.0.1에서는 다시 ‘.TXT’형식으로 변경되었습니다. 


‘[5~10자리 랜덤 문자열]-DECRYPT.txt’ 형식으로 생성됩니다. 


[그림 6] ‘.TXT’형식의 랜섬노트


GandCrab v5.0.1의 뒤를 이어 발견된 GandCrab v5.0.2에서는 코드 내 버전 정보가 v5.0.2로 명시되어 있는 것 이외에는 v5.0.1과 달라진 점이 없습니다. 



[그림 7] 코드 내 명시되어 있는 버전 번호


현재 알약에서는 갠드크랩(GandCrab) 랜섬웨어 변종들에 대해 Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 






티스토리 방명록 작성
name password homepage