안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다.
이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다.
– 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210
[그림 1] 워드 문서
다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드 받는 것이다.
[그림 2] 인코딩 된 Gandcrab을 갖고 있는 .sct 파일
한국 경찰을 사칭하는 것으로 액티브 콘텐츠 사용버튼을 누르는 것에 주의하여야 한다.
현재 V3에서는 다음과 같이 진단하고 있다.
워드 파일
– W97M/Downloader (2019.03.22.00)
– VBA/Downloader.S1 (2019.03.22.02)
SCT파일
– JS/GandCrab.S6 (2019.03.21.07)
EXE파일
– Malware/Win32.Generic (2019.03.21.05)
Categories:악성코드 정보