안랩 ASEC은 GandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다. 유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다.
[그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3)
[그림-2] GandCrab v5.0.3 감염 배경화면
상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다.
[그림-3] GandCrab V5.0.3 랜섬노트
랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일에 대하여 삭제하지 말라는 경고 문구가 추가되었다.
[그림-4] GandCrab 내부 버전
내부 버전도 5.0.3으로 업데이트 되었으나, 기능상으로는 v5.0.2와 큰 차이는 없는 것으로 보인다.
[그림-5] V3 Lite 삭제 행위 탐지 화면
GandCrab v5.0.3이 실행되기 전, V3 Lite에 대하여 삭제 행위에 대하여 상기 그림과 같이 차단되어 동작하지 못하며, GandCrab이 실행되더라도 랜섬웨어의 파일 감염 행위로 Malware/MDP.Ransom.M1947로 행위기반 차단되고 있다.
V3 제품에서 파일 기반의 진단은 다음과 같다.
- JS/GandCrab
- JS/GandCrab.S1
- JS/GandCrab.S2
- Trojan/Win32.Gandcrab
'악성코드 정보' 카테고리의 다른 글
| [주의] 복구 불가능한 GandCrab v5.0.4 국내 유포 중 (0) | 2018.10.29 |
|---|---|
| V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.3) (0) | 2018.10.12 |
| V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.2) (0) | 2018.10.10 |
| Windows 방화벽 등록으로 백신 업데이트 방해 악성코드 (0) | 2018.10.05 |
| GandCrab도 한국을 타깃으로? (0) | 2018.10.03 |
댓글