갠드크랩(GandCrab) v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해
추석 연휴동안 갠드크랩(GandCrab) v5가 발견되어 사용자들의 주의가 필요합니다. 이번에 발견된 갠드크랩(GandCrab) v5가 기존의 갠드크랩(GandCrab) v4.x와 비교하였을 때 달라진 점은 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용한다는 점과, HTML 형식의 한국어 랜섬노트를 생성한다는 점입니다. 그 외의 대부분 행위는 기존의 버전과 유사합니다. 이번 갠드크랩 v5는 보안연구원 nao_sec에 의해 Fallout 익스플로잇 키트를 호스팅하는 사이트로 이동시키는 멀버타이징을 통해 배포 되는 것이 발견되었습니다. 이 익스플로잇은 방문자 SW에 존재하는 취약점을 활용하기 때문에 피해자들은 암호화된 파일과 랜섬노트를 발견하기 전 까지는 감염 사실을 눈치채기가 어렵습니다. 또한 GandC..
악성코드 분석 리포트
2018. 9. 27. 18:22