포스팅 내용

악성코드 분석 리포트

비너스락커 조직, 또 다시 이력서로 위장하여 갠드크랩 랜섬웨어 유포 중!


안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

갠드크랩 랜섬웨어가 또 다시 이력서로 위장하여 유포되고 있어 사용자들의 각별한 주의가 필요합니다. 



갠드크랩 랜섬웨어는 이력서 이메일로 위장하고 있으며, 악성 워드파일이 첨부되어 있습니다. 


[그림 1] 수신된 메일


만약 이용자가 첨부 파일 ‘양희종 지원서.doc’를 클릭할 경우 아래와 같이 매크로 실행을 유도 합니다.  


[그림 2] 매크로 실행을 유도하는 DOC 파일


이용자가 자세한 정보를 열람하기 위해 매크로를 실행할 경우, 난독화된 스크립트를 이용해C2 서버(http://185.224.133.221/222.exe)로 통신을 시도하고 갠드크랩(GandCrab) 랜섬웨어 5.0.4 변종을 다운로드 합니다.


[그림 3] 난독화된 스크립트


최종적으로 설치된 EXE가 실행되면 갠드크랩 랜섬웨어가 감염되어 바탕화면이 변경되고, 컴퓨터에 보관되어 있던 주요 데이터들이 모두 암호화 됩니다.


그리고 랜섬노트 ‘FJHUGKLUIW-DECRYPT.txt’ 파일이 다수의 경로에 생성되어 집니다.


[그림 4] 갠드크랩 랜섬웨어 5.0.4 변종에 감염된 화면


‘FJHUGKLUIW-DECRYPT.txt’ 랜섬노트 파일에는 다음과 같이 암호화된 파일들을 복호화하기 위한 설명이 포함되어 있습니다.


[그림 5] 갠드크랩 5.0.4 랜섬노트 화면


랜섬노트를 통해 토르(Tor) 사이트로 접속하면, 다음과 같이 대시(DASH)와 비트코인(Bitcoin) 요구 화면을 보게 됩니다.


[그림 6] 갠드크랩 복구 비용 안내 토르 사이트 화면


따라서 출처가 불분명한 메일에 있는 첨부파일 혹은 링크에 대해 접근을 삼가하시고, 검증되지 않은 파일을 실행하기 전에는 백신 프로그램을 이용하여 악성 여부 검사를 수행해주시기 바랍니다.


현재 알약에서는 관련 샘플을 Trojan.Ransom.GandCrab으로 진단하고 있습니다.




티스토리 방명록 작성
name password homepage