세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
갠드크랩 랜섬웨어, v5.0.2로 새롭게 무장하고 ‘활개’
  |  입력 : 2018-10-02 23:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
갠드크랩 랜섬웨어, 버전5.0에 이어 5.0.1과 5.0.2 연이어 발견

[보안뉴스 김경애 기자] 최근 갠드크랩 랜섬웨어 v5.0에 이어 v5.0.1과 v5.0.2가 연이어 발견됐다. 끊임없이 버전을 업그레이드 하며 유포되고 있어 이용자들의 세심한 주의가 필요하다.

▲‘.TXT’형식의 랜섬노트[이미지=이스트시큐리티]


갠드크랩 v5.0.1은 다른 정상 프로세스에 악성행위를 하도록 명령어를 주입시키는데, 특정 조건에 따라 주입시키는 대상이 달라진다.

예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 한다.

다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부이다. 인젝션 완료 후에는 NtResumeThread 함수를 이용해 인젝션한 갠드크랩을 실행한다.

보안 전문업체 이스트시큐리티는 “갠드크랩 v5.0에서는 고정된 5자리의 랜덤한 확장명을 사용했지만, 갠드크랩 v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용하도록 변경됐다”며 “또한 갠드크랩 v5.0에서는 한국어가 적용된 ‘.HTML’형식의 랜섬노트를 사용한 게 새로운 특징이었다면 v5.0.1에서는 다시 ‘.TXT’형식으로 변경됐다”고 분석했다.

갠드크랩 v5.0.2의 경우 코드 내 버전 정보가 v5.0.2로 명시돼 있으며, 기능과 형식은 v5.0.1과 같은 것으로 분석됐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술