Trojan.Win32.GandCrab.Gen.A
바이로봇 버전정보 :
2018-06-04.01 활동 OS 플랫폼 :
MS Windows 감염시 위험도 :
- 등록일 :
- 2018-09-21 11:49:13
■ Trojan.Win32.GandCrab.Gen.A
A. 감염 경로
Trojan.Win32.GandCrab.Gen.A는 자체적인 전파기능을 가지고 있지 않으며, 해킹 당한 사이트에서 다운로드 되
거나 패키지 프로그램에 의해 설치될 수 있다.
B. 감염 증상
1) Trojan.Win32.GandCrab.Gen.A는 실행 시 다음과 같은 경로에 자가복제한 파일을 생성한다.
자가복제된 경로 : %APPDATA%\microsoft\(랜섬6자리).exe
2) 생성된 파일은 레지스트리에 등록되어 부팅 시 자동으로 실행된다.
이름 : shtsqgpwalp
키 : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
경로 : %APPDATA%\microsoft\(랜섬6자리).exe
3) 특정 도메인의 DNS 쿼리 조회를 위해 윈도우 프로그램인 ‘nslookup.exe’ 을 사용하지만 현재는 존재하지 않는
도메인주소로 정상적인 결과를 받아오지 못한다.
carder.bit
ransomware.bit
8.8.8.8.in-addr.arpa
4) 서버에서 키를 정상적으로 받아오지 못해 악성행위를 수행하지 않지만 정상적으로 통신이 이루어질 경우 중요파일을 감염시키는
행위를 수행하는 랜섬웨어 파일이다.
C. 치료 방법
바이로봇 2018-06-04.01 이상 버전으로 치료된다.
D. 위험도
보통