2018년 8월 1일 수집된 GandCrab(갠드크랩) v4.2.1 버전에는 안랩 V3 Lite 제품를 공격하는 기능이 추가되었다. 아래 부분은 GandCrab v4.2.1에서 이전 버전과 달라진 점이다.
- 파일 외형 변경
- 프로세스 할로잉을 통해 내부 핵심 GandCrab 파일 구동
- Anti-VM 기능 삭제
- V3 Lite 제품을 공격하는 코드 추가
특히 이번 v4.2.1 GandCrab 에서 가장 특징적인 부분은 안랩 V3 Lite 제품을 공격하는 코드가 추가되었다는 점인데, 파일 암호화 이후에 해당 기능이 동작하도록 하였다.
2018년 8월 2일에 신규 수집된 GandCrab v4.3 에서도 위와 동일한 V3 Lite 제품 공격 기능이 확인되었으며, V3 Lite 최신 버전 3.3.46.2 부터는 해당 공격에 영향을 받지 않는다.
GandCrab v4.2.1
행위 진단 Malware/MDP.Ransom
파일 진단 Trojan/Win32.Gandcrab (2018.08.01.09)
MD5 ccfee0f37b0e2952d8c77438fc1e5e13
GandCrab v4.3
행위 진단 Malware/MDP.Ransom
파일 진단 Trojan/Win32.Gandcrab (2018.07.10.05)
MD5 9f1aeca41d2da7ef2a441961077474f1
'악성코드 정보' 카테고리의 다른 글
| 고정된 하나의 공개키를 사용하는 GandCrab v4.x (0) | 2018.08.30 |
|---|---|
| 자바스크립트 내에 포함된 GandCrab 랜섬웨어 (V3 제거유도) (0) | 2018.08.29 |
| 국내 원격 서버 접속 프로그램로 위장한 코인 마이너 유포 (0) | 2018.08.10 |
| 새롭게 등장한 GandCrab v4.2 (안티VM + RigEK) (0) | 2018.07.24 |
| 변종 GandCrab v4.1.2 내부에 등장한 AhnLab 문구와 이미지 (0) | 2018.07.20 |
댓글