자바스크립트(*.js)로 유포되던 GandCrab 랜섬웨어... 새로운 랜섬웨어로 변경
안랩 ASEC 분석팀은 GandCrab 변형을 확인하기 위해 피싱 다운로드 페이지를 지속적으로 모니터링 하고있다. 이 과정에서 2019년 4월 29일 해당 피싱 사이트에서 유포되는 자바스크립트(*.js) 가 갠드크랩에서 새로운 랜섬웨어로 변경됨을 포착하였다.
해당 신규 랜섬웨어는 기존 GandCrab v5.2와 동일하게 [그림 1]과 같은 피싱 다운로드 페이지에서 유포되며 해당 피싱 페이지에서 다운로드된 .js 파일 내부에 신규 랜섬웨어를 가지고 있으며, 20분 간의 시간지연(Sleep() API) 후에 감염행위가 진행된다. 이러한 유포방식의 특징은 기존 GandCrab 랜섬웨어와 동일한 특징을 갖고 있으나, 스크립트 파일 내부의 랜섬웨어가 새로운 형태로 변경되었다.
지난 글 : V3Lite 제품에 대한 진단 우회 시도 (GandCrab v5.2) https://asec.ahnlab.com/1219
GandCrab v5.2(과거) 와 현재의 차이점은 기존엔 자바스크립트(*.js)가 서버를 통해(지난 글 참조) GandCrab을 다운로드 받아 실행시키는 방식이라면, 변경한 랜섬웨어는 자바스크립트 (*.js)에 인코딩 된 신규 랜섬웨어를 드롭하는 방식으로 변경 되었다.
GandCrab v5.2와 신규 랜섬웨어의 스크립트 코드 유사도를 비교 해보자면 아래 [그림 3]과 같이 거의 동일함을 확인할 수 있으며, PowerShell로 실행하는 코드 [그림 4] 또한 인코딩된 PE정보를 제외하면 거의 일치한다.
해당 랜섬웨어에 감염되면 사용자 컴퓨터의 파일들이 암호화되며, 파일명이 랜덤한 자릿수의 확장자를 갖는 것으로 수정된다. 또한 암호화가 완료된 폴더 경로에 [그림 5]와 같은 랜섬노트가 생성된다. 암호화가 모두 진행되면 바탕화면이 [그림 6]과 같이 변경된다.
새로운 랜섬웨어의 감염 제외 대상 파일은 아래와 같다.
1. 폴더 경로에 아래와 같은 데이터가 포함 될 경우(감염 대상 제외)
|
"appdata","mozilla","windows","intel","program files","programdata","perflogs","$windows.~bt","windows.old","boot" ,"msocache","$windows.~ws","application data","tor browser","system volume information","program files (x86)","google" ,"$recycle.bin" |
2. 파일명에 아래와 같은 데이터가 포함 될 경우(감염 대상 제외)
|
"autorun.inf","ntuser.dat","iconcache.db","bootfont.bin","thumbs.db","ntuser.dat.log","boot.ini","ntuser.ini","bootsect.bak" ,"desktop.ini","ntldr" |
3. 제외대상 확장자(감염 대상 제외)
|
"nls","com","lock","hta","ps1","icl","drv","msp","diagcab","spl","wpx","cur","shs","386","diagcfg","ico","mpa","bin","msu" ,"diagpkg","ics","prf","sys","msi","mod","key","hlp","lnk","scr","cpl","bat","cmd","rtp","msc","theme","ani","ldf","adv","exe" ,"ocx","msstyles","rom","dll","themepack","deskthemepack","nomedia","idx","cab","icns" |
현재 V3에서는 아래와 같이 다양한 감염 과정들에 대해 행위기반의 탐지 및 Generic 진단을 통해 해당 악성코드에 대한 차단을 진행하고 있다.
파일 진단
- JS/Gandcrab.S9 (2019.04.30.00)
행위 진단
- Malware/MDP.Behavior.M2084
- Malware/MDP.Behavior.M2193
- Malware/MDP.Behavior.M2194