이미지를 드롭하는 갠드크랩(GandCrab) 5.0.4 발견!

안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다. 

갠드크랩(GandCrab)의 변종이 몇 일 동안 꾸준히 발견되고 있는 가운데 갠드크랩(GandCrab) v5.0.4가 또 한번 발견되었습니다. 

▶ GandCrab v5 랜섬웨어, 랜덤 확장자와 HTML 랜섬노트를 사용하고 ALPC 작업 스케쥴러 익스플로잇 악용해

▶ GandCrab 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중!

이번에 발견된 GandCrab v5.0.4은 실행된 후 자신이 위치한 파일 경로에 동일한 사람 얼굴 이미지 파일 두 개를 드롭합니다.  

드롭된 이미지 파일은 실제로 하는 역할은 없으며, 이번 갠드크랩 랜섬웨어 변종이 공격 타겟으로 삼고 있는 인물로 추정됩니다. 

[그림 1] 드롭되는 이미지

드롭되는 이미지는 실제로 Tablogx라는 물류 회사의 CFO인 Valery Sinyaev으로, 코드에는 이 사람의 실명과 함께 욕설과 협박에 대한 내용이 문자열로 작성되어 있습니다. 

[그림 2] Tablogx 홈페이지 내 Valery Sinyaev 소개페이지

[그림 3] GandCrab v5.0.4에 작성되어 있는 문자열

이 밖에는 바로 전에 발견되었던 GandCrab v5.0.1, v5.0.2와 동일하게 파일 암호화 후 확장자를 ‘[5~10자리 랜덤 문자열]로 변경하며,  랜섬노트도 txt 형식을 사용합니다. 

[그림 4] '.ovlvoy' 확장자로 암호화 된 파일 목록

[그림 5] 랜섬노트

GandCrab은 사용자 PC를 감염 시킨 후 일부 경로에 랜섬노트를 생성하고, 파일 암호화 진행 후 사용자 바탕 화면을 변경합니다. 

실제로 알약 행위기반 랜섬웨어 차단기능에서 GandCrab 5.0.4에 대해 정상적으로 차단하고 있습니다. 

다만 알약에서는 파일 암호화 행위에 대해서만 차단을 진행하기 때문에 갠드크랩의 랜섬노트 팝업 기능이나 바탕화면 변경 기능은 제대로 동작하여 사용자들이 놀라실 수도 있습니다. 

하지만 암호화 행위에 대해서는 정상적으로 차단되었으니 사용자 여러분들께서는 랜섬노트를 종료해 주시고, 바탕화면을 원래대로 바꿔주시면 됩니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.GandCrab으로 탐지 중에 있습니다.