메그니베르(Magniber) 랜섬웨어 유포지 모니터링 작업 중, 4 11()부터 기존의 메그니베르가 아닌 GandCrab 랜섬웨어가 유포되는 것이 확인되었다. GandCrab 랜섬웨어는 공개키 방식으로 암호화하는 것으로 알려져 있어 복구가 불가능 함으로 사용자 주의가 요구된다유포에 사용되는 취약점 및 생성경로파일의 외형은 모두 메그니베르와 동일한 것을 볼 때제작자가 복구툴 배포작업으로 인해 랜섬웨어를 교체한 것으로 추정된다.

 

유포에 사용되는 취약점은 동일함으로 취약점 패치를 통해 감염을 차단하는 것이 필요하다.


아래의 그림은 4 11일 수집된 GandCrab 랜섬웨어에 의해 보여지는 랜섬노트와 감염 후 확장자를 나타낸다. 기존 3 19일자 ASEC블로그에 언급된 샘플에서는 버전이 2.0에서 현재는 2.1로 유포되는 것을 확인할 수 있다


http://asec.ahnlab.com/1101 (3월 19일자 GandCrab 관련 글)





  • 파일명: uD4ia0J3.exe (V3: Win-Trojan/RansomCrypt.Exp / 2018.04.11.06 엔진버전)
  • md5: 99bd57898469f06450000411790a505b


[취약점 패치]


스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)


취약점 대상의 인터넷 익스플로러 버전은 다음과 같습니다.

인터넷 익스플로러 9, 10, 11


최신 버전의 인터넷 익스플로러는 다음 경로에서 자신의 OS 환경에 맞는 것으로 다운로드 할 수 있습니다.

https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads


또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있습니다.

윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update


[참고]


기존 메그니베르 랜섬웨어 복구에 필요한 확장자//벡터 정보는 지속적으로 업데이트하여 제공할 예정입니다. http://asec.ahnlab.com/1125


Posted by 분석팀