2018년 8월 1일 수집된 GandCrab(갠드크랩) v4.2.1 버전에는 안랩 V3 Lite 제품를 공격하는 기능이 추가되었다. 아래 부분은 GandCrab v4.2.1에서 이전 버전과 달라진 점이다.

  • 파일 외형 변경
  • 프로세스 할로잉을 통해 내부 핵심 GandCrab 파일 구동
  • Anti-VM 기능 삭제
  • V3 Lite 제품을 공격하는 코드 추가

특히 이번 v4.2.1 GandCrab 에서 가장 특징적인 부분은 안랩 V3 Lite 제품을 공격하는 코드가 추가되었다는 점인데, 파일 암호화 이후에 해당 기능이 동작하도록 하였다. 


V3 Lite 제품 공격 코드가 추가된 GandCrab

2018년 8월 2일에 신규 수집된 GandCrab v4.3 에서도 위와 동일한 V3 Lite 제품 공격 기능이 확인되었으며, V3 Lite 최신 버전 3.3.46.2 부터는 해당 공격에 영향을 받지 않는다.


GandCrab v4.2.1

행위 진단 Malware/MDP.Ransom

파일 진단 Trojan/Win32.Gandcrab (2018.08.01.09)

MD5         ccfee0f37b0e2952d8c77438fc1e5e13


GandCrab v4.3

행위 진단 Malware/MDP.Ransom

파일 진단 Trojan/Win32.Gandcrab (2018.07.10.05)

MD5         9f1aeca41d2da7ef2a441961077474f1


Posted by 분석팀