현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab 의 유포 스크립트 에서 V3 제품 제거와 관련된 코드가 지속적으로 변화 하였는데, 11월 6일 V3 Lite Uninstall 프로그램에 캡차 코드 적용으로 인하여 더 이상 삭제가 불가능 해지자 V3 제품 Uninstall 기능을 제거한 스크립트의 유포가 확인 되었다.



[ 그림 1. Captcha 코드가 적용된 Uninstall 프로그램 ]


변경된 스크립트에서는 %appdata% 경로에 파일을 생성하고 이를 powershell로 로드하는 방식으로 GandCrab을 실행했다.


[ 그림 2. 변경된 GandCrab 유포 스크립트 ]


이로 인해 실행되는 Gandcrab의 버전은 v5.0.4 로 이전 유포되던 GandCrab과 동일 하였다.


[ 그림 3. GandCrab v5.0.4 랜섬노트 ]


안랩은 해당 GandCrab이 실행될 경우 아래와 같이 차단 하고 있다.



[ 그림 4. GandCrab 랜섬웨어 행위 차단 (M1996) ]


Posted by 분석팀