안랩 ASEC은 갠드크랩 악성코드관련 정보를 게시하는 marcelo 트위터를 통해 GandCrab의 새로운 버전인 v5.0.9 파일을 확인하였다.
현재 국내에서 활발히 유포 되고있는 Gandcrab v5.0.4와 다른 점은 아래 [그림 1]과 같은 메시지 창을 가장 먼저 띄운다. 이 메시지를 보면 곧 국내에도 Gandcrab v5.0.9가 유포될 것으로 보이며 사용자들의 주의가 필요하다.
[그림 1] 메시지 박스
해당 메시지 박스를 클릭하기 전 까지는 감염이 되지 않으며 확인을 누를 시 기존에 알려진 Gandcrab과 동일하게 특정 프로세스 종료 및 특정 사용자 언어를 확인하여 감염 유무 결정, 암호화 시 랜덤명으로 확장자 변경 등의 행위를 한다. 바탕화면과 랜섬노트, 내부버전 모두 5.0.9로 변경되었다.
[그림 2] GandCrab v5.0.9 감염 배경화면
[그림 3] GandCrab 랜섬노트
[그림 4] GandCrab 내부버전
현재 V3에서는 Gandcrab v5.0.9가 실행될 경우 다음과 같이 차단하고 있다.
[그림 5] V3 행위 차단 메시지
'악성코드 정보' 카테고리의 다른 글
| 국내 백신에 대한 새로운 무력화 시도 (GandCrab v5.0.4) (0) | 2019.01.07 |
|---|---|
| Microsoft Office Excel - DDE 이용 악성 기능 실행 (0) | 2018.12.17 |
| DOC 확장자를 사용하는 XML파일 대량 유포 중 (Emotet) (0) | 2018.11.28 |
| CVE-2018-8174 취약점 분석 (0) | 2018.11.26 |
| GandCrab 랜섬웨어 유포에 사용되는 이메일 주소 (사전예방) (0) | 2018.11.23 |
댓글