GandCrab 4.3 Javascript 분석

이번 분석 건은 Javascript 난독화 분석 입니다.

난독화라기 보다는 변수명들만 보기가 어렵게 되어있습니다.

요즘 매우 이슈가 되고있는 GandCrab 4.3을 Javascript를 사용하여 유포하고 있습니다.

본 작성자는 초급 분석가이며, 많은 피드백 환영합니다.

아래 그림은 행위 순서이다.

각 주요 행위마다 변수를 설정한다. 

랜섬노트가 생성 되었다는 것은 랜섬웨어 행위가 제대로 동작한다 라는 것을 의미하여 변수 값을 2 설정하여 특정 url에 송신한다.

실행 중인 프로세스들을 수집하여 특정 url에 전송한다. 무엇을 의미하는지는 자세히 모르겠다.

실행파일을 특정 경로에 생성 및 파일 명을 설정한다. 그리고 변수 값을 0으로 설정하며,

실행파일을 base64 디코딩 후에 GandCrab을 실행한다. 이때 변수 값을 1로 설정한다.

Base64 디코딩한 실행파일이다. 파일 시그니처가 MZ(4D5A) 임을 확인할 수 있다.

 

GandCrab 행위가 끝나고 바탕화면에 랜섬노트가 생성 되면 변수 값을 2로 설정한다.

감사합니다.