본문 바로가기

악성코드 정보

GandCrab 랜섬웨어 v5.2 국내 유포 중 (복구불가)

안랩 ASEC은 2019년 2월 20일 국내 사용자를 대상으로 한 이력서로 가장하여 유포중인 Gandcrab v5.2를 발견하였다.

Gandcrab v5.2 는 어제 BitDefender 에서 공개한 Gandcrab v5.1 복구툴에 대응하여 단 하루만에 업데이트 된 버전으로, 확인결과 공개한 복구툴로 복구가 불가능 하여 사용자들의 주의가 필요하다. 2018년 10월 25일에도 이와 유사하게 BitDefender에서 Gandcrab에 대한 복구툴을 배포한 후, 바로 복구가 불가능한 변종이 나왔던 사례가 있다.

https://asec.ahnlab.com/1173 (GandCrab v1, v4, v5 복구툴 배포 (Bitdefender)) - 2018.10.25

https://asec.ahnlab.com/1174 ([주의] 복구 불가능한 GandCrab v5.0.4) - 2018.10.29


공격자는 아래 [그림-1] 과 같이 .doc로 위장하기 위해 다수의 공백문자를 포함한 파일명을 사용하고 있다. 압축파일 형태("임진희 이력서")로 유포된 것이 확인되었으며, 기존과 동일하게 이메일의 첨부파일 형태로 유포된 것으로 추정된다.

- "임진희 자격증_190220.doc     (다수의 공백)      .exe"

[그림-1] 이력서로 위장한 exe 파일


Gandcrab v5.2에서도 Gandcrab v5.1과 같이 안랩을 비하하는 문구가 포함되어 있다.

[그림-2] 안랩을 비하하는 문구가 포함된 Gandcrab


실행 시 Gandcrab v5.2 버전의 랜섬노트를 생성하고 파일을 암호화 한다.

[그림-3] Gandcrab v5.2 감염 바탕화면

[그림-4] Gandcrab v5.2 내부 버전

[그림-5] Gandcrab v5.2 랜섬노트


현재 V3에서는 다음과 같이 진단하고 있다.

파일 : Trojan/Win32.Gandcrab.C3030302 (2019.02.20.06)

행위진단 : Malware/MDP.Ransom.M1171