지난해 악명을 떨쳤던 갠드크랩(GandCrab) 랜섬웨어가 또다시 공격 기법을 강화했다. 백신 프로그램을 무력화하기 위해 프로그램의 삭제를 시도하던 것 대신 새로운 방법을 택한 것. 특히 국내 사용자들이 많이 사용하는 주요 국산 백신 프로그램들을 표적으로 하고 있어 국내 사용자들의 피해가 우려된다.
(*이미지 출처: shutterstock.com)
갠드크랩 랜섬웨어는 이전에도 악의적인 행위를 수행하기에 앞서 [그림 1]과 같이 프로그램 언인스톨(Uninst.exe)을 실행해 PC에 설치된 백신 제품의 삭제를 시도했다.
[그림 1] 기존 갠드크랩 랜섬웨어의 백신 프로그램 언인스톨 코드
그러나 최근 발견된 변종에서는 언인스톨을 실행하는 방법 대신 백신이 동작하는데 필요한 *서비스 프로그램을 종료하는 것으로 방향을 바꿨다. 이는 안랩이 V3 제품의 언인스톨 관련 기능에 캡챠 코드를 적용했기 때문에 V3 제품의 삭제가 어려워졌기 때문이다.
* 서비스 프로그램(Service program): 애플리케이션의 구동에 필요한 요소로서의 세부 프로그램을 서비스 프로그램 또는 서비스라고 부른다.
또한 이번 갠드크랩 변종은 V3 Lite뿐만 아니라 또 다른 국내 유명 백신의 제품도 표적으로 삼고 있다. [그림 2]에서 볼 수 있는 것처럼 이들 두 가지 백신에 해당하는 제품이 PC에서 실행되고 있을 경우 ‘Sleep()함수’를 이용해 15분간 동작을 지연시킨다. 또 타사 국산 백신에 대해서는 디코이 폴더의 우회를 시도하고 있음도 알 수 있다.
[그림 2] 백신 프로그램의 무력화 관련 코드
동작 방식에 있어서도 변화가 확인되었다. 존에는 *.JS 자바 스크립트 파일을 이용해 갠드크랩 랜섬웨어의 실행 파일을 생성, 실행하는 방식이었다면 최근 변종은 [그림 3]과 같이 파워쉘(PowerShell)을 이용해 파일리스(Fileless) 방식으로 동작한다. 감염 후 암호화 작업 역시 파워쉘(PowerShell.exe)에 의해 실행된다.
[그림 3] 갠드크랩 변종 감염 과정
V3 제품군에서는 최신 갠드크랩 변종을 아래와 같은 진단명으로 탐지 및 차단하고 있다. 또한 갠드크랩 랜섬웨어 탐지 시, [그림 4]와 같이 갠드크랩 랜섬웨어가 설치된 파일 경로, 행위 정보 등 상세한 정보를 제공한다.
<V3 제품군 진단명>
- Win-Trojan/AVKill.Exp
- Malware/MDP.Ransom.M1996
[그림 4] V3 제품의 탐지 정보
'컴 폰 잘 다루기' 카테고리의 다른 글
| 카톡의 기능 (0) | 2019.02.04 |
|---|---|
| 최근 또 다시 입사지원서를 사칭한 랜섬웨어가 발견되었다. (0) | 2019.02.02 |
| 스마트폰 저장공간 부족 (0) | 2019.01.03 |
| 내 pc로 가상화폐하는 이것은? (1) | 2018.12.20 |
| 스마트폰 강의2 (0) | 2018.12.10 |