안랩 ASEC은 갠드크랩 악성코드관련 정보를 게시하는 marcelo 트위터를 통해 GandCrab의 새로운 버전인 v5.0.9 파일을 확인하였다.


현재 국내에서 활발히 유포 되고있는 Gandcrab v5.0.4와 다른 점은 아래 [그림 1]과 같은 메시지 창을 가장 먼저 띄운다. 이 메시지를 보면 곧 국내에도 Gandcrab v5.0.9가 유포될 것으로 보이며 사용자들의 주의가 필요하다.


[그림 1] 메시지 박스


해당 메시지 박스를 클릭하기 전 까지는 감염이 되지 않으며 확인을 누를 시 기존에 알려진 Gandcrab과 동일하게 특정 프로세스 종료 및 특정 사용자 언어를 확인하여 감염 유무 결정, 암호화 시 랜덤명으로 확장자 변경 등의 행위를 한다. 바탕화면과 랜섬노트, 내부버전 모두 5.0.9로 변경되었다.

[그림 2] GandCrab v5.0.9 감염 배경화면


[그림 3] GandCrab 랜섬노트


[그림 4] GandCrab 내부버전


현재 V3에서는 Gandcrab v5.0.9가 실행될 경우 다음과 같이 차단하고 있다.

[그림 5] V3 행위 차단 메시지


Posted by 분석팀