새롭게 등장한 GandCrab v4.2 (안티VM + RigEK)

GandCrab(갠드크랩) 랜섬웨어는 진단을 회피하기 위해 파일 외형에 있어서 다양한 패커 사용을 통한 빠른 변화를 거듭하고 있으며, 지난 주 안랩 ASEC에서는 v4.0, v4.1, v4.1.2, v4.1.3 버전에 대한 암호화 차단(Kill-Switch) 툴을 ASEC블로그를 통해 배포하였다.(http://asec.ahnlab.com/1145) 해당 암호화 차단툴 배포 후, 등장한 v4.1.2 변종에서는 악성코드 내부에 자사에 대한 모욕적인 내용을 담고 있는 이미지 링크를 추가한 것과 함께 더 이상 차단 툴이 유효하지 않도록 관련 코드가 제거된 형태로 발견되었다.(http://asec.ahnlab.com/1146) 이후 국내 유포방식을 모니터링 하던 중 7월 24일부터는 RigEK(Rig Exploit Kit)을 통한 새로운 v4.2 버전의 유포가 확인되었다. GandCrab v2.x와 v3.x 버전이 RigEK를 통해 유포된 것은 올 해 4월에 기 알려진 상태이나, 최신 v4.2 버전이 RigEK를 통해 유포된 것이 확인된 것은 이번이 처음이다. 새롭게 확인된 버전의 기능은 기존과 크게 다르지 않지만, Anti-VM 기능이 추가된 것이 특징이다.(암호화 차단툴 – X, 안랩 … 새롭게 등장한 GandCrab v4.2 (안티VM + RigEK) 계속 읽기