SECURITY

SAFETY

Home > 전체기사

갠드크랩 랜섬웨어, v5.0.2로 새롭게 무장하고 ‘활개’

입력 : 2018-10-02 23:38

갠드크랩 랜섬웨어, 버전5.0에 이어 5.0.1과 5.0.2 연이어 발견

[보안뉴스 김경애 기자] 최근 갠드크랩 랜섬웨어 v5.0에 이어 v5.0.1과 v5.0.2가 연이어 발견됐다. 끊임없이 버전을 업그레이드 하며 유포되고 있어 이용자들의 세심한 주의가 필요하다.

▲‘.TXT’형식의 랜섬노트[이미지=이스트시큐리티]

갠드크랩 v5.0.1은 다른 정상 프로세스에 악성행위를 하도록 명령어를 주입시키는데, 특정 조건에 따라 주입시키는 대상이 달라진다.

예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 한다.

다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부이다. 인젝션 완료 후에는 NtResumeThread 함수를 이용해 인젝션한 갠드크랩을 실행한다.

보안 전문업체 이스트시큐리티는 “갠드크랩 v5.0에서는 고정된 5자리의 랜덤한 확장명을 사용했지만, 갠드크랩 v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용하도록 변경됐다”며 “또한 갠드크랩 v5.0에서는 한국어가 적용된 ‘.HTML’형식의 랜섬노트를 사용한 게 새로운 특징이었다면 v5.0.1에서는 다시 ‘.TXT’형식으로 변경됐다”고 분석했다.

갠드크랩 v5.0.2의 경우 코드 내 버전 정보가 v5.0.2로 명시돼 있으며, 기능과 형식은 v5.0.1과 같은 것으로 분석됐다.
[김경애 기자(boan3@boannews.com)]

회사소개|
광고안내|
이용약관|
개인정보 처리방침|
청소년 보호정책|
고객센터|
제휴안내|
관련서적|
RSS 서비스|
발행인: 최정식 | 편집인: 최정식 | 청소년보호책임자: 최소영

등록번호 : 서울 아00181 | 등록/발행연월일 : 2006년 3월 17일 | 상호 : (주)더비엔 | 사업자등록번호 : 407-86-00506 | 대표 : 최정식, 최소영

주소 : 서울시 마포구 마포대로 25 (마포동, 신한디엠빌딩 13층) (우. 04167) | 전화 : 02-719-6931 | 팩스 : 02-715-8245 | E-mail : helpdesk@boannews.com

「열린보도원칙」 당 매체는 독자와 취재원 등 뉴스이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알려드립니다.
고충처리인 유경동(editor@boannews.com)

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다