본문 바로가기
악성코드 정보

GandCrab 5.0.9 등장

by AhnLab ASEC 분석팀 2018. 12. 4.

안랩 ASEC은 갠드크랩 악성코드관련 정보를 게시하는 marcelo 트위터를 통해 GandCrab의 새로운 버전인 v5.0.9 파일을 확인하였다.


현재 국내에서 활발히 유포 되고있는 Gandcrab v5.0.4와 다른 점은 아래 [그림 1]과 같은 메시지 창을 가장 먼저 띄운다. 이 메시지를 보면 곧 국내에도 Gandcrab v5.0.9가 유포될 것으로 보이며 사용자들의 주의가 필요하다.


[그림 1] 메시지 박스


해당 메시지 박스를 클릭하기 전 까지는 감염이 되지 않으며 확인을 누를 시 기존에 알려진 Gandcrab과 동일하게 특정 프로세스 종료 및 특정 사용자 언어를 확인하여 감염 유무 결정, 암호화 시 랜덤명으로 확장자 변경 등의 행위를 한다. 바탕화면과 랜섬노트, 내부버전 모두 5.0.9로 변경되었다.

[그림 2] GandCrab v5.0.9 감염 배경화면


[그림 3] GandCrab 랜섬노트


[그림 4] GandCrab 내부버전


현재 V3에서는 Gandcrab v5.0.9가 실행될 경우 다음과 같이 차단하고 있다.

[그림 5] V3 행위 차단 메시지


댓글0