랜섬웨어 리포트

매달 하나의 악성코드/랜섬웨어를 선정하여 상세 리포트를 제공합니다.
소만사 유지관리고객이 되시면 악성코드 분석 전문가가 직접 샘플을 입수하여 분석한 최신 악성코드/랜섬웨어 리포트를 가장 빠르게 받아보실 수 있습니다.

랜섬웨어

GandCrab 3.0 랜섬웨어 분석

1.1 배 경


2018년 상반기부터 국내에 유포되기 시작한 GandCrab 랜섬웨어의 3.0 버전이 발견되었다.
이전 버전의 국내 감염 경로는 크게 두 가지로,
악성 웹 사이트에 삽입된 Magnitude 익스플로잇 킷을 통해 유포되는 방식과
악성 메일의 첨부파일 형태로 유포되는 방식이 있다.
새로운 버전인 3.0 버전은 악성 메일의 첨부파일 형태로 유포되고 있으며,
국내를 대상으로 유포되는 사례도 최근 발견되었다.

 

최근 발견된 3.0 버전의 악성 행위는 기존의 2.1 버전과 대부분 동일하지만
재부팅 후 바탕화면 변경기능이 추가되었다.

 

메일에 첨부되어 있는 파일을 실행하면
파일 내부에 암호화하여 가지고 있던 DLL 파일을 복호화 후 메모리에 로드하여 사용한다.
모든 악성 행위는 복호화 모듈에서 실행되기 때문에
실행 전 암호화 상태에서는 악성 행위를 확인하기 어렵다.

 

감염된 시스템의 운영체제 버전을 확인하여 Windows Vista 이상일 경우
악성코드 프로세스의integrity level 이 Low integrity 이하인지 확인한다.
만약 그 이하라면 아래 그림과 같이 시스템 권한으로 프로세스를 재실행 한다.

 

3. 대 응


1. MS 제공하는 보안 업데이트를 자동으로 설정한다.
2. 사용중인 소프트웨어 최신 업데이트 유지한다.
3. 백신 최신 업데이트 유지한다.
4. 주요 문서는 주기적으로 백업하고 물리적으로 분리하여 관리한다.
5. 신뢰할 수 없는 메일의 첨부파일은 실행을 금지한다.
6. 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결을 차단한다.

 

 

PDF로 리포트 자세히 보기
이전글 WannaCry 2차 분석보고서(심층분석) 2017.06.28
다음글 갠드크랩 V.5 관리자 권한 탈취방법 분석 2019.01.01
목록