9월 6일에 구글(Google) 한국어 검색 시 노출되는 페이지를 통한 자바스크립트 형식의 GandCrab 랜섬웨어 유포를 소개하였다. (http://asec.ahnlab.com/1156) 주말 사이 수집된 아래의 자바스크립트 파일이름을 볼 때, 여전히 정상 유틸을 위장하여 유포되고 있음을 알 수 있다. 또한, 자바스크립트에 의해 생성되는 GandCrab 내부버전은 기존 5.0에서 5.0.1로 새롭게 변경되었다.


- 유트브_프리웨어.js

- 한글_windows_7_iso.js


[그림-1] GandCrab v5.0.1



감염시 사용자에게 보여지는 랜섬노트는 HTML형식에서 TXT형식으로 다시 변경되었으며, 랜덤한 5바이트 고정길이 확장자에서 랜덤길이로 변경되었다. 아래의 [그림-2]는 v5.0.1에 감염 후 사용자에게 보여지는 랜섬노트를 나타낸다.


[그림-2] GandCrab v5.0.1 랜섬노트 


유포 자바스크립트 파일 분석결과, V3 Lite 제품제거 기능의 동작방식에서 변화가 확인되었다. "WMIC.exe" 윈도우 시스템 프로세스를 이용한 V3Lite 제품에 대한 제거기능이며, 아래의 [그림-3], [그림-4] 순서로 제품제거가 수행된다.


- (기존-1) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe" (~9/25)

- (기존-2) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe" (9/26~)


UAC(User Account Control) 우회를 위한 운영체제 별 "eventvwr.exe" 혹은 "fodhelper.exe" 사용 및 "powershell.exe"을 통한 동작은 기존과 동일하며 "powershell.exe"을 통해 "WMIC.exe"를 실행하는 것이 새롭게 변경된 부분이다.

[그림-3] WMIC 를 이용한 Uninstall 시도


[그림-4] Uninst.exe 프로세스 구동화면


아래의 [그림-5]은 PowerShell.exe를 이용하여 WMIC.exe를 통한 V3Lite 제거기능의 코드부분을 나타낸다.

[그림-5] WMIC.exe 이용한 V3Lite 제거기능


V3제품에서는 아래와 같이 V3Lite 제거행위에 대해 행위차단을 수행하고 있으며, 파일에 대한 진단도 가능하다.


- JS/GandCrab.S1 (2018.10.01.02)

- JS/GandCrab.S2 (2018.10.01.02)

- Trojan/Win32.GandCrab (2018.10.01.00)



[그림-6] 행위차단 화면



Posted by 분석팀