- 배치파일 형태로 유포되는 GandCrab v4.3
- 구글 한국어 웹 검색 시 노출되는 GandCrab 유포 자바스크립트
- 파워쉘을 이용하여 유포 중인 GandCrab v4.4 (Kill-Switch)
- 고정된 하나의 공개키를 사용하는 GandCrab v4.x
- 자바스크립트 내에 포함된 GandCrab 랜섬웨어 (V3 제거유도)
- 안랩 V3 Lite 제품 사용자를 공격하는 GandCrab v4.2.1
- 새롭게 등장한 GandCrab v4.2 (안티VM + RigEK)
- 변종 GandCrab v4.1.2 내부에 등장한 AhnLab 문구와 이미지
- GandCrab v4.1.2 암호화 차단방법 (Kill-Switch) - Update(v4.1.3)
- GandCrab v4.x 암호화 차단방법 (Kill-Switch)
- 공정거래위원회를 사칭하여 유포하는 GandCrab 랜섬웨어 주의
- 입사 지원서 위장 메일로 유포되는 GandCrab v4.1.2 랜섬웨어 주의
- .KRAB 확장자로 파일을 암호화하는 GandCrab 4.0 랜섬웨어 주의
- 네트워크 공유폴더 파일들도 암호화함
- 네트워크 통신이 없이도 파일 암호화 수행
- 암호화 대상 파일 뒤에
.KRAB
확장자 추가 - 암호화 대상 폴더마다 랜섬노트 파일(
KRAB-DECRYPT.txt
) 생성 - 암호화 제외 환경 늘어남
- 바탕화면 변경 기능과 자가 복제, 자동 실행 기능 사라짐
- 키보드 레이아웃 확인(러시아어인 경우 프로그램 종료)
- 시스템 언어 확인(러시아, 우크라이나, 밸라루스, 타지키스탄, 아르메니아, 아제르바이잔, 조지아, 카자흐스탄, 키르기스스탄, 투르크메니스탄, 우즈베키스탄, 타타르 중 하나인 경우 프로그램 종료)
%APPDATA%
경로에lock
확장자를 가진 파일이 생성되는지 확인(동일한 이름의 파일이 존재하거나 파일 생성 실패 시 프로그램 종료)- 암호화 완료 이후 암호화된 파일 복원 방지 위해 쉐도우 볼륨 복사본 삭제
- lock 확장자로 생성되는 파일 이름을 만드는 로직 변경
- 임의 이미지 URL에 RC4와 Base64로 인코딩된 감염 기기 정보 데이터 전송 기능 추가
- 악성코드 내부에 Fortinet과 AhnLab 조롱 문구 삽입
- Rig Exploit Kit을 통해 유포
- Anti-VM 기능 추가
- CVE-2018-4878
- V3 Lite 제품 공격 기능 추가
- 파일 외형 변경
- Anti-VM 기능 삭제
- V3 프로그램 삭제 유도
- 내부 인코딩 된 갠드크랩 실행파일을 사용자 시스템에 생성 및 실행
- 배치파일(
*.bat
) 형태로 유포 - NullSoft Installer 형태로 인젝션하여 동작
- 파워쉘 스크립트를 이용해 갠드크랩 다운로드하여 실행
- Fileless로 동작
- 암호화 차단(Kill-Switch) 기능을 수행하는 lock 파일 존재 여부를 확인하는 코드 재등장