본문 바로가기

악성코드 정보

닷넷(.NET) 외형으로 유포되는 GandCrab 랜섬웨어 v5.2

안랩 ASEC201936일 갠드크랩 v5.2가 닷넷(.NET) 외형으로 유포되고 있음을 확인하였다. 최근 국내에 활발하게 유포 중인 갠드크랩은 주로 UPX로 실행 압축된 형태이지만, 이번에 확인된 파일의 경우 갠드크랩이 닷넷으로 제작 및 유효하지 않은 가짜 인증서까지 포함하고 있다는 것은 특이한 경우이다.

 

[그림 1] 닷넷 외형 갠드크랩의 유효하지 않은 인증서 정보

 

이점은 갠드크랩 제작자가 백신 탐지를 우회하기 위해 UPX 실행 압축 형태, 닷넷 외형 등 다양한 파일 외형으로 유포하고 있음을 의미한다. 닷넷 외형의 갠드크랩은 아래 [그림 2]와 같이 Sleep 함수 호출을 통한 실행 지연 코드를 포함하고 있다. 이는 갠드크랩의 실행 시간을 지연시켜 샌드박스 탐지를 회피하기 위한 목적으로 보인다.


[그림 2] Sleep 함수 호출 (0x30D40=3분20초)


Sleep 함수를 여러번 호출하여 약 3~4분간의 대기 이후에는 RunPE 방식으로 닷넷 외형 내부에 존재하는 갠드크랩을 실행한다.


[그림 3] 닷넷 외형 PE 내부에 존재하는 갠드크랩 v5.2



그리고 220일 공개한 GandCrab 랜섬웨어 v5.2 국내 유포 중(https://asec.ahnlab.com/1200) 글 게시 후 2월 23일 부터 현재 유포 중인 갠드크랩 v5.2는 실행 압축된 파일 내부 코드가 전체적으로 변경된 것으로 추정된다.

 

[그림 4] 닷넷 외형 내부 갠드크랩의 컴파일 시간 정보 (2019/02/23)

 

주요 바뀐 점은 먼저 안랩을 비하하는 문구는 사라지고 얼마 전에 갠드크랩 v5.1 복구툴을 공개한 BitDefender 백신업체를 연상시키는 문자열(BitHuender)로 바뀌었으며, 이 문자열은 뮤텍스 이름으로 사용됨을 확인하였다.

 

[그림 5] 변경된 주요 문자열 정보

 

또한, 갠드크랩의 랜섬노트명이 [랜덤7자리]-DECRYPT.txt에서 [랜덤7자리]-MANUAL.txt로 변경되었다.


[그림 6] 변경된 랜섬노트 파일명 ([랜덤7자리]-MANUAL.txt)


현재 안랩 V3에서는 갠드크랩을 아래와 같은 진단명으로 탐지 및 차단 하고 있다.


- 파일진단 : Trojan/Win32.MSIL (2019.03.07.00)

- 행위진단 : Malware/MDP.Ransom.1171