본문 바로가기

악성코드 정보

주의! GandCrab v5.0.3 등장 안랩 ASEC은 GandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다. 유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다. [그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3) [그림-2] GandCrab v5.0.3 감염 배경화면 상기 그림과 같이 감염 시 변경된 바탕..
V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.2) 현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다.[그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2)현재까지 확인된 V3 Lite 언인스톨 행위 대..
Windows 방화벽 등록으로 백신 업데이트 방해 악성코드 암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다. 배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인..
GandCrab도 한국을 타깃으로? 한글윈도우 사용자만 감염한 Magniber 랜섬웨어2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다. [출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/자사는 2018년 4월에 ASEC..
주의! GandCrab v5.0.2 국내 유포중 (2018.10.02) 구글(Google) 검색을 통해 폰트, 유틸, 다양한 설치파일 다운로드 검색 시 노출되는 웹 페이지를 이용한 GandCrab 유포 모니터링 중 새로운 v5.0.2 버전이 확인되었다. 아래의 [그림-1]은  "유튜브 프리웨어 download" 키워드로 구글 검색 시 최상단에 위치하는 페이지를 나타낸다.[그림-1] 구글 검색 페이지에 노출된 유포 사이트아래의 [그림-2]는 유포 사이트에 접속하여, 다운로드 링크 클릭 시 ZIP 형식의 ..
WMIC를 이용한 V3 Lite 제거기능의 GandCrab v5.0.1 등장 9월 6일에 구글(Google) 한국어 검색 시 노출되는 페이지를 통한 자바스크립트 형식의 GandCrab 랜섬웨어 유포를 소개하였다. (http://asec.ahnlab.com/1156) 주말 사이 수집된 아래의 자바스크립트 파일이름을 볼 때, 여전히 정상 유틸을 위장하여 유포되고 있음을 알 수 있다. 또한, 자바스크립트에 의해 생성되는 GandCrab 내부버전은 기존 5.0에서 5.0.1로 새롭게 변경되었다.- 유트브_프리웨어.js- 한글_win..
V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0) 9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다.(기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"(변경) "e..
주의! 갠드크랩 v5.0 국내 유포중 안랩 ASEC은 GandCrab 제작자가 새로운 버전으로 업데이트를 한 것을 포착하였다. 제작자는 어제(9/24)를 기준으로 v5.0으로 업데이트 하였으며 바탕화면과 랜섬노트 그리고 확장자를 KRAB에서 임의의 5자리 문자열로 변경하였다. [그림-1] GandCrab v5.0 감염 배경화면GandCrab에 감염 시 배경화면의 위의 그림처럼 변경되며, 2번째 줄에는 사용자의 컴퓨터 이름을 사용한다.  [그림-2] 변경된 랜섬노트 랜섬노트는 v..