포스팅 내용

악성코드 분석 리포트

비너스락커 조직이 유포중인 갠드크랩(GandCrab) v5.0.3 주의!



안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 


비너스락커 랜섬웨어를 유포하였던 조직들이 최근 국내 사용자들 대상으로 갠드크랩(GandCrab) v5.0.3을 유포중에 있어 사용자들의 주의가 필요합니다. 




현재 유포중인 갠드크랩(GandCrab) v5.0.3은 이미지 무단사용 관련 내용, 입사지원서 등의 파일을 위장하여 유포되고 있으며, 바로가기 형태로 유포되고 있어 일반 사용자들은 악성파일인지 판단하기 어렵습니다. 


[그림 1] 악성 바로가기 화면



이러한 바로가기 형태의 악성코드들은 이미지 파일이나 문서 파일을 위장하고 있지만, 실제로 해당 바로가기를 클릭하면 연결되어 있는 악성 exe 파일이 실행되게 됩니다. 



[그림 2] 바로가기 파일의 속성 화면



바로가기(.LNK) 파일 내부를 분석해 보면 기존 비너스락커 랜섬웨어 때와 동일한 코드가 계속해서 사용되고 있음을 알 수 있습니다.


[그림 3] 바로가기 파일 내부의 코드 화면



랜섬웨어가 실행되면 사용자의 파일을 암호화 암호화 시킨 후 사용자 바탕화면을 변경합니다. 



[그림 4] 갠드크랩 랜섬웨어 감염 후 변경된 바탕화면



또한 이번에 발견된 갠드크랩(GandCrab) v5.0.3은 결제 사이트 디자인이 변경되었으며, 기존의 갠드크랩(GandCrab) v5.0.3과 달리 공격자와 채팅이 가능하도록 채팅 기능이 추가되었습니다. 




[그림 5] 갠드크랩 랜섬웨어 토르 사이트 화면



이밖에 한국어 안내 페이지를 지원하고 복호화 비용으로 DASH와 Bitcoin을 요구하는 것은 기존과 동일합니다. 


갠드크랩의 버전과 상관없이 Tor 결제 사이트 주소도 동일하기 때문에, 다른 GandCrab 버전에 감염되었을 경우에도 동일하게 변경된 결제 사이트 화면으로 접속됩니다. 


현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Lnk.Runner, Trojan.Ransom.GandCrab으로 탐지중에 있습니다. 



티스토리 방명록 작성
name password homepage