본문 바로가기

악성코드 정보

[주의] 한국 경찰을 사칭해 GandCrab을 유포하는 문서파일 (Pastebin 삭제)

안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다.


이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다.

- 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210


[그림 1] 워드 문서


다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드 받는 것이다.

[그림 2] 인코딩 된 Gandcrab을 갖고 있는 .sct 파일


한국 경찰을 사칭하는 것으로 액티브 콘텐츠 사용버튼을 누르는 것에 주의하여야 한다.

현재 V3에서는 다음과 같이 진단하고 있다.


워드 파일

- W97M/Downloader (2019.03.22.00)

- VBA/Downloader.S1 (2019.03.22.02)


SCT파일

- JS/GandCrab.S6 (2019.03.21.07)


EXE파일

- Malware/Win32.Generic (2019.03.21.05)