홈 > 커뮤니티 > 랜섬웨어뉴스
랜섬웨어뉴스
[ 보안뉴스 ] 구글 검색 통해 안랩 V3 제거 유도하는 갠드크랩 랜섬웨어 발견
2018-09-05 09:58:25
구글 검색을 통해 안랩의 V3 백신 제거를 유도하는 갠드크랩 랜섬웨어 변형이 발견됐다. 특정 키워드를 갖고 검색을 하면 해커가 올린 블로그 게시글이 보이는데, 노출된 글에는 다운로드 링크가 포함돼 있다. 다운로드 링크를 클릭하면 백신 제거를 유도하고 갠드크랩 랜섬웨어가 실행된다.
위협정보를 공유하는 제로써트 측은 “구글 검색을 통해 갠드크랩 랜섬웨어 유포 형태 변형이 탐지됐다”며 “특정 키워드를 구글 검색창에 입력하면 해커가 올린 게시물이 노출되며, 게시물에는 악성링크가 포함돼 있다. 악성링크를 클릭하면 내부에 코딩된 갠드크랩 악성코드가 실행되는데, 백신 등에 차단될 경우 외부 DLL을 호출해 파일리스(Fileless) 형태로 랜섬웨어가 실행된다”고 밝혔다.
V3 삭제 유도기능이 포함된 자바스크립트는 V3 언인스톨러의 경로를 구한 후, 윈도우 버전에 따라 적합한 실행 방식으로 언인스톨러를 실행한다. 언인스톨러를 실행한 이후 최대 60초까지 V3가 제거됐는지 확인한다. 사용자가 제거 버튼을 60초 이내에 클릭할 경우, 즉시 갠드크랩 랜섬웨어가 실행된다.
- 이전글 [ 보안뉴스 ] 오바마 효과, 오바마 케어 넘어 오바마 랜섬웨어까지 2018-09-07
- 다음글 [ 데일리시큐 ] CryptoJoker 랜섬웨어 변종 CryptoNar, 무료 해독기 바로 공개돼 2018-09-04