갠드크랩(GandCrab) 랜섬웨어 5.0.1, 5.0.2 변종 지속적으로 유포 중!
갠드크랩(GandCrab) v5.0이 발견된지 몇 일 되지 않아 또 다시 갠드크랩(GandCrab) v5.0.1 및 v5.0.2가 발견되었습니다. GandCrab v5.0.1은 다른 정상 프로세스에 인젝션 되어 실행되는데, 특정 조건에 따라 인젝션 대상이 달라집니다. 예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 합니다. [그림 1] 조건에 따른 인젝션 대상 프로세스 다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부입니다. [그림 2] ‘wermgr.exe’ 인젝션 코드 일부 인젝션 완료 후에는 NtResumeThread 함수를 이용하여 인젝션한..
악성코드 분석 리포트
2018. 10. 1. 18:58