Simple Analysis blog

2018년, 12월 01일 타임스탬프를 가지고 있는 새로운 버전의 갠드크랩이 발견되었다. 새로운 버전은 5.0.9 로 이전의 5.0.5 버전 이후 6, 7, 8 버전은 건너 뛴 다음 배포된 것으로 추정된다. 해당 신종 갠드크랩은 "We will become back very soon! ;)" 이라는 메시지가 남겨져 있었다.이를 보아 곧 6버전이 나올 듯 하다. [IOC]md5: 44c289e415e4c12b883003082194d76cSHA-1 : 915e5b6ad63ca0115ad8ac41da271e167cb50486SHA-256 : ce8a3474f1be9d750b5a5d5447e8f66b651d215799c1b5acb261296426542659TimeStamp : 2018/12/01 08:40:00..

2018-11-16, VirusTotal에 "※ 기 록 부.hwp" 라는 이름의 한글파일이 헌팅되었다.2018-11-16, VirusTotal has hunted a HWP file named "※ 기 록 부.hwp". 해당 한글파일은 RedEyes, 스카크러프트 그룹의 ROKRAT 라고 알려진 유형의 악성코드로 추정된다.The Korean file is estimated to be a malicious code of the type known as the ROKRAT of the Scraft group. * RedEyes, Scarcruft : 한국의 유명기관이나 정치단체를 대상으로 데이터 탈취와 파괴를 모두 수행하는 공격 그룹 * RedEyes, Scarcruft: Attack group that p..

트윗을 하던 중 "https://twitter.com/tccontre18/status/1060539545874247680" 게시글에서 갠드크랩의 신명나는 bypass 루틴을 보게되어 분석해보았다.During the tweet, "https://twitter.com/tccontre18/status/1060539545874247680" In the post, I looked at the bypass routines of GandCrab. 해당 악성코드는 다운로더형식의 코드를 지니고 있었다.The malicious code had code in the form of a downloader. 메인 코드는 기존의 갠드크랩과 매우 유사하며, RunPE 형식으로 VirtualProtect() -> Decoding -..

Virustotal에서 헌팅하던 중 예전 공정거래위원위 사칭 사건 (VenusLocker 조직* 추정) 과 유사한 방법을 사용하는 링크파일과 GandCrab 랜섬웨어를 발견하게되었다.While hunting at Virustotal, I found a link file and a GandCrab Ransomware that uses a similar method to the former Fair Trade Commissioner case (VenusLocker organization * estimate). (공정위 사칭 건 : https://www.boannews.com/media/view.asp?idx=72148) * VenusLocker 조직은 2016년을 시작으로, 국내를 타겟으로하여 이메일을 통하..