[주의] 한국 경찰을 사칭해 GandCrab을 유포하는 문서파일 (Pastebin 삭제)

안랩 ASEC은 3월 21일 한국 경찰을 사칭하여 유포되는 Gandcrab 다운로더 문서를 발견하였다.

이 전 글과 동일하게 cmstp.exe를 통해 Windows Sript Componet(.sct) 형태의 파일을 다운로드 받아 Gandcrab이 실행된다.

– 워드 문서파일에 의한 GandCrab 랜섬웨어 유포 중 (Pastebin 이용) https://asec.ahnlab.com/1210

[그림 1] 워드 문서

다른점은 http://pastebin.com 을 이용하지 않고, http:134.209.88.23/???.txt 주소를 통해 *.sct 파일을 다운로드 받는 것이다.

[그림 2] 인코딩 된 Gandcrab을 갖고 있는 .sct 파일

한국 경찰을 사칭하는 것으로 액티브 콘텐츠 사용버튼을 누르는 것에 주의하여야 한다.

현재 V3에서는 다음과 같이 진단하고 있다.

워드 파일

– W97M/Downloader (2019.03.22.00)

– VBA/Downloader.S1 (2019.03.22.02)

SCT파일

– JS/GandCrab.S6 (2019.03.21.07)

EXE파일

– Malware/Win32.Generic (2019.03.21.05)

Categories:악성코드 정보

0 0 vote
Article Rating
guest
0 Comments
Inline Feedbacks
View all comments