[보안뉴스 김경애 기자] 최근 갠드크랩 랜섬웨어 v5.0에 이어 v5.0.1과 v5.0.2가 연이어 발견됐다. 끊임없이 버전을 업그레이드 하며 유포되고 있어 이용자들의 세심한 주의가 필요하다.
▲‘.TXT’형식의 랜섬노트[이미지=이스트시큐리티]
갠드크랩 v5.0.1은 다른 정상 프로세스에 악성행위를 하도록 명령어를 주입시키는데, 특정 조건에 따라 주입시키는 대상이 달라진다.
예를 들어 Flag값이 1일 경우 ‘%System32%svchost.exe’, 2일 경우는 ‘%System32%wermgr.exe’를 대상으로 한다.
다음은 CreatePorcessInternalW 함수로 ‘wermgr.exe’ 프로세스에 인젝션 하는 코드의 일부이다. 인젝션 완료 후에는 NtResumeThread 함수를 이용해 인젝션한 갠드크랩을 실행한다.
보안 전문업체 이스트시큐리티는 “갠드크랩 v5.0에서는 고정된 5자리의 랜덤한 확장명을 사용했지만, 갠드크랩 v5.0.1에서는 고정된 5자리의 랜덤한 문자열 방식에서 5~10자리의 랜덤한 문자열 방식의 확장명을 사용하도록 변경됐다”며 “또한 갠드크랩 v5.0에서는 한국어가 적용된 ‘.HTML’형식의 랜섬노트를 사용한 게 새로운 특징이었다면 v5.0.1에서는 다시 ‘.TXT’형식으로 변경됐다”고 분석했다.
갠드크랩 v5.0.2의 경우 코드 내 버전 정보가 v5.0.2로 명시돼 있으며, 기능과 형식은 v5.0.1과 같은 것으로 분석됐다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>