본문 바로가기
악성코드 정보

자바스크립트(*.js)로 유포되던 GandCrab 랜섬웨어... 새로운 랜섬웨어로 변경

by 분석팀 2019. 4. 29.

안랩 ASEC 분석팀은 GandCrab 변형을 확인하기 위해 피싱 다운로드 페이지를 지속적으로 모니터링 하고있다. 이 과정에서 2019년 4월 29일 해당 피싱 사이트에서 유포되는 자바스크립트(*.js) 가 갠드크랩에서 새로운 랜섬웨어로 변경됨을 포착하였다.

 

해당 신규 랜섬웨어는 기존에 소개된 GandCrab v5.2과 같이 동일한 피싱 사이트([그림 1])에서 유포되고 있으며, 해당 서버를 통해 다운로드 받은 파일(.js) 내부에는 신규 랜섬웨어를 가지고 있다. 다운로드 받은 파일을 실행 시 V3가 설치되어 있다면 20분 간의 시간지연(Sleep() API) 후에 감염행위가 진행되는데,  이러한 유포 방식 및 시간지연 코드 그리고 아래에서 소개될 스크립트 파일까지 기존 GandCrab 랜섬웨어와 유사함을 알 수 있다. 그러나 스크립트 파일 내부의 실행 파일에는 GandCrab으로 추정할 수 있는 특징이 제거된 새로운 랜섬웨어 형태로 변경되었다.

지난 글 : V3Lite 제품에 대한 진단 우회 시도 (GandCrab v5.2) https://asec.ahnlab.com/1219

 

<그림 1. 피싱 다운로드 페이지>

GandCrab v5.2(과거) 와 현재의 차이점은 기존엔 자바스크립트(*.js)가 서버를 통해(지난 글 참조) GandCrab을 다운로드 받아 실행시키는 방식이라면, 변경한 랜섬웨어는 자바스크립트 (*.js)에 인코딩 된 신규 랜섬웨어가 포함되어 이를 실행하는 방식으로 변경 되었다. 

<그림 2. 감염 흐름>

GandCrab v5.2와 신규 랜섬웨어의 스크립트 코드 유사도를 비교 해보자면 아래 [그림 3]과 같이 거의 동일함을 확인할 수 있으며, PowerShell로 실행하는 코드 [그림 4] 또한 인코딩된 PE정보를 제외하면 거의 일치한다.

<그림 3. [그림 4]를 드롭하는 자바스크립트 코드>
<그림 4. 인코딩된 값을 Powershell을 통해 실행되는 코드>
<그림 5. 새로운 랜섬웨어의 랜섬노트>
<그림 6. 새로운 랜섬웨어의 감염 후 바탕화면>

 

해당 랜섬웨어에 감염되면 사용자 컴퓨터의 파일들이 암호화되며,  파일명이 랜덤한 자릿수의 확장자를 갖는 것으로 수정된다. 또한 암호화가 완료된 폴더 경로에 [그림 5]와 같은 랜섬노트가 생성된다. 암호화가 모두 진행되면 바탕화면이 [그림 6]과 같이 변경된다.  

 

새로운 랜섬웨어의 감염 제외 대상 파일은 아래와 같다.


1. 폴더 경로에 아래와 같은 데이터가 포함 될 경우(감염 대상 제외)

"appdata","mozilla","windows","intel","program files","programdata","perflogs","$windows.~bt","windows.old","boot"

,"msocache","$windows.~ws","application data","tor browser","system volume information","program files (x86)","google"

,"$recycle.bin"

2. 파일명에 아래와 같은 데이터가 포함 될 경우(감염 대상 제외)

"autorun.inf","ntuser.dat","iconcache.db","bootfont.bin","thumbs.db","ntuser.dat.log","boot.ini","ntuser.ini","bootsect.bak"

,"desktop.ini","ntldr"

3. 제외대상 확장자(감염 대상 제외)

"nls","com","lock","hta","ps1","icl","drv","msp","diagcab","spl","wpx","cur","shs","386","diagcfg","ico","mpa","bin","msu"

,"diagpkg","ics","prf","sys","msi","mod","key","hlp","lnk","scr","cpl","bat","cmd","rtp","msc","theme","ani","ldf","adv","exe"

,"ocx","msstyles","rom","dll","themepack","deskthemepack","nomedia","idx","cab","icns" 

 

 

현재 V3에서는 아래와 같이 다양한 감염 과정들에 대해 행위기반의 탐지 및 Generic 진단을 통해 해당 악성코드에 대한 차단을 진행하고 있다.

 

<그림 6. 행위 진단 화면>

 

파일 진단

JS/Gandcrab.S9 (2019.04.30.00)

 

행위 진단

Malware/MDP.Behavior.M2084

- Malware/MDP.Behavior.M2193

- Malware/MDP.Behavior.M2194

 

 

댓글