현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다.


[그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2)



현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다.

- wmic.exe -> cmd.exe -> runas.exe


[그림-1]에서의 2가지 방식 모두가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.


[그림-2] 언인스톨 행위관련 프로세스 구조


자사에서는 이러한 행위변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.




V3제품에서 파일기반의 진단은 다음과 같다.


- JS/GandCrab.S1

- JS/GandCrab.S2

- Trojan/Win32.Gandcrab





Posted by 분석팀