안랩 ASECGandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다.


[그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3)


[그림-2] GandCrab v5.0.3 감염 배경화면


상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다.


[그림-3] GandCrab V5.0.3 랜섬노트


랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일에 대하여 삭제하지 말라는 경고 문구가 추가되었다.

 

[그림-4] GandCrab 내부 버전


내부 버전도 5.0.3으로 업데이트 되었으나, 기능상으로는 v5.0.2와 큰 차이는 없는 것으로 보인다.


[그림-5] V3 Lite 삭제 행위 탐지 화면


GandCrab v5.0.3이 실행되기 전, V3 Lite에 대하여 삭제 행위에 대하여 상기 그림과 같이 차단되어 동작하지 못하며, GandCrab이 실행되더라도 랜섬웨어의 파일 감염 행위로 Malware/MDP.Ransom.M1947로 행위기반 차단되고 있다.


V3 제품에서 파일 기반의 진단은 다음과 같다.


- JS/GandCrab

- JS/GandCrab.S1

- JS/GandCrab.S2

- Trojan/Win32.Gandcrab


Posted by 분석팀