세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
갠드크랩 랜섬웨어, v5.0.2로 새롭게 무장하고 ‘활개’
  |  입력 : 2018-10-02 23:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
갠드크랩 랜섬웨어, 버전5.0에 이어 5.0.1과 5.0.2 연이어 발견

[보안뉴스 김경애 기자] 최근 갠드크랩 랜섬웨어 v5.0에 이어 v5.0.1과 v5.0.2가 연이어 발견됐다. 끊임없이 버전을 업그레이드 하며 유포되고 있어 이용자들의 세심한 주의가 필요하다.

▲‘.TXT’형식의 랜섬노트[이미지=이스트시큐리티]


갠드크랩 v5.0.1은 다른 정상 프로세스에 악성행위를 하도록 명령어를 주입시키는데, 특정 조건에 따라 주입시키는 대상이 달라진다.

예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 한다.

다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부이다. 인젝션 완료 후에는 NtResumeThread 함수를 이용해 인젝션한 갠드크랩을 실행한다.

보안 전문업체 이스트시큐리티는 “갠드크랩 v5.0에서는 고정된 5자리의 랜덤한 확장명을 사용했지만, 갠드크랩 v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용하도록 변경됐다”며 “또한 갠드크랩 v5.0에서는 한국어가 적용된 ‘.HTML’형식의 랜섬노트를 사용한 게 새로운 특징이었다면 v5.0.1에서는 다시 ‘.TXT’형식으로 변경됐다”고 분석했다.

갠드크랩 v5.0.2의 경우 코드 내 버전 정보가 v5.0.2로 명시돼 있으며, 기능과 형식은 v5.0.1과 같은 것으로 분석됐다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)