안랩 ASEC은 2019년 2월 20일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.2를 발견하였다.
Gandcrab v5.2 는 어제 BitDefender 에서 공개한 Gandcrab v5.1 복구툴에 대응하여 단 하루만에 업데이트 된 버전으로, 확인결과 공개한 복구툴로 복구가 불가능 하여 사용자들의 주의가 필요하다. 2018년 10월 25일에도 이와 유사하게 BitDefender에서 Gandcrab에 대한 복구툴을 배포한 후, 바로 복구가 불가능한 변종이 나왔던 사례가 있다.
- https://asec.ahnlab.com/1173 (GandCrab v1, v4, v5 복구툴 배포 (Bitdefender)) - 2018.10.25
- https://asec.ahnlab.com/1174 ([주의] 복구 불가능한 GandCrab v5.0.4) - 2018.10.29
공격자는 아래 [그림-1] 과 같이 .doc로 위장하기 위해 다수의 공백문자를 포함한 파일명을 사용하고 있다. 압축파일 형태("임진희 이력서")로 유포된 것이 확인되었으며, 기존과 동일하게 이메일의 첨부파일 형태로 유포된 것으로 추정된다.
- "임진희 자격증_190220.doc (다수의 공백) .exe"
[그림-1] 이력서로 위장한 exe 파일
Gandcrab v5.2에서도 Gandcrab v5.1과 같이 안랩을 비하하는 문구가 포함되어 있다.
[그림-2] 안랩을 비하하는 문구가 포함된 Gandcrab
실행 시 Gandcrab v5.2 버전의 랜섬노트를 생성하고 파일을 암호화 한다.
[그림-3] Gandcrab v5.2 감염 바탕화면
[그림-4] Gandcrab v5.2 내부 버전
[그림-5] Gandcrab v5.2 랜섬노트
현재 V3에서는 다음과 같이 진단하고 있다.
파일 : Trojan/Win32.Gandcrab.C3030302 (2019.02.20.06)
행위진단 : Malware/MDP.Ransom.M1171
'악성코드 정보' 카테고리의 다른 글
| GandCrab v5.2 랜섬웨어에서 사용된 동적분석 우회기법 (0) | 2019.02.27 |
|---|---|
| [주의] '2차 북미정상회담' 내용의 한글취약점 문서 (0) | 2019.02.21 |
| 국내 인터넷 뉴스 사이트 통한 랜섬웨어 유포 (Greenflash Sundown EK) (0) | 2019.02.19 |
| 국내 사용자를 대상으로 한 CLOP 랜섬웨어 유포 (0) | 2019.02.18 |
| 국내 사용자를 대상으로 유포 중인 악성 Excel 문서 파일 (1) | 2019.02.14 |
댓글