이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab)

본문

PC 정보

[ETC] 이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) [23]

my com (3015641)

활동내역 작성글 쪽지 마이피 타임라인

출석일수 : 1852일 | LV.37

Exp.81%

추천 22 | 조회 17038 | 비추력 1458

작성일 2020.01.04 (20:11:50)

IP : (IP보기클릭)121.165.***.***

프로필 열기/닫기

my com (3015641)

작성일 2020.01.04 프로필 열기/닫기

추천 22 | 조회 17038 | 댓글수 23

안랩 v3와 랜섬웨어 갠드크랩의 공방전을 다룬 글입니다.(상세 내용은 PDF에 있습니다.)

대충 요약하면

안랩은 갠드크랩 제작자가 숨겨둔 랜섬웨어 작동 중지 코드를 찾아내 배포합니다.

악성코드 제작자는 소스 코드에 안랩 욕을 하며 V3를 공격합니다.

악성코드 제작자는 안랩 V3에 이상한 집착을 합니다.

1. v3 제거를 물어보는 창을 숨기고 자동으로 클릭해 사용자 몰래 삭제하는 기능을 넣음(v3, 윈도 디펜더, avast 백신 삭제기능 추가)

https://asec.ahnlab.com/1161

2. denial-of-service (DOS)공격 코드를 깃헙에 공개, 또한 뉴스 사이트와 접촉해 v3를 무력화 시킬거라고 예고함

악성코드 제작자 : 안랩 명성에 구멍을 내줄 악성코드를 받아라. 이걸로 너(안랩)과 나의 점수는 1:1이다.

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-author-bitter-after-security-vendor-releases-vaccine-app/

3. 랜섬웨어 실행시 v3 유무를 확인하고 v3가 있으면 v3전용 공격을 실시

https://asec.ahnlab.com/1219 (v3에 악성코드 인젝션 시도)

https://asec.ahnlab.com/1230 (v3 사용시 UAC 권한 창을 100 회 물어봄, 한번이라도 예를 누르면 감염)

갠드크랩 제작자는 돈을 벌만큼 벌었다며 사라집니다.

--------------------------------

갠드크랩이 사용자 몰래 v3를 제거하는것을 막기위해 캡챠를 도입하게 되었습니다.

출처 : https://asec.ahnlab.com/1281

글쓰기

댓글 | 총 23 개

EMCS (1889596) (IP보기클릭)210.91.*.*	BEST 러시아인. 안랩을 주로 욕한건 안랩이 킬스위치를 발견해서 백신을 만들어 배포했기 때문	20.01.04 21:49
shimaz (749) (IP보기클릭)61.74.*.*	BEST 캡챠 보고 어이 없었는데 저런 이유가..	20.01.04 20:27
ootori (27750) (IP보기클릭)121.189.*.*	BEST 본문보다 댓글들이 참... 확인도 안된 편견으로 글 한줄 찍 쓰는 그런 에휴... 뭐뭐일듯 해놓고 아니면 말고식	20.01.04 22:18
10041004 (4153654) (IP보기클릭)125.176.*.*	BEST 개색히는 끝까지 개색히네. 자기 나쁜짓 하는거 방해했다고 보복하는게... 죽으면 지옥갈 상이다	20.01.04 21:34
작성자 my com (3015641) (IP보기클릭)121.165.*.*	BEST 공공기관에 납품하려면 CC인증을 받아야 합니다. 백신이 강제종료 당하면 인증을 받을수 없습니다. 작업관리자로 강제 종료 당하면 공공기관에 납품을 할수 없습니다.	20.01.04 23:45

i넘버원 (59705) (IP보기클릭)121.165.*.*	[삭제된 댓글의 댓글입니다.] 피자맛치즈 결국 방어를 못해서 캡챠가 생긴거 ㅜㅜ \| 20.01.05 00:07 \| \| \| 등록
작성자 my com (3015641) (IP보기클릭)121.165.*.*	i넘버원 방어한건 맞습니다. 캡챠를 도입한 이후 갠드크랩은 v3 삭제기능을 제거했거든요. 만약 방어를 못했다면 캡차도 우회하고 v3가 삭제되었을겁니다. 갠드크랩은 이후 v3 삭제를 포기하고 방해하는쪽으로 방향을 바꿉니다. \| 20.01.05 00:15 \| \| \| 등록
Sekiro (5053223) (IP보기클릭)223.38.*.*	my com 캡챠 생기기 이전에 방어를 못한거 맞잖음? 생긴 이후로 방어해서 v3 삭제기능 제거한거구 \| 20.01.05 08:07 \| \| \| 등록
작성자 my com (3015641) (IP보기클릭)223.62.*.*	Sekiro 이전에 시도한 방식이 1. 뜬금없이 v3 삭제창이 뜨고 사용자가 실수로 예를 누르게 유도하는 방식 2. 삭제창을 숨기고 자동으로 예를 클릭하는 방식 이런식입니다. 그거 방어한다고 정상적인 언인스톨 기능을 빼버릴수는 없잖아요. \| 20.01.05 09:34 \| \| \| 등록
Exclusive (1706888) (IP보기클릭)58.238.*.*	Sekiro 좀 읽어보세요. 캡챠 넣기 전에도 V3 행위기반으로 막고 취약점은 패치를 했다는데요. \| 20.01.05 14:01 \| \| \| 등록
shimaz (749) (IP보기클릭)61.74.*.*	BEST 캡챠 보고 어이 없었는데 저런 이유가.. 등록	20.01.04 20:27
마법의힘 (1069100) (IP보기클릭)124.62.*.*	안랩 뚫으면 은행권에 침투가 수월해지니 그런거겠죠 등록	20.01.04 20:42
Qoosm (93366) (IP보기클릭)183.102.*.*	마법의힘 외국 은행권도 안랩 보안 프로그램 강제로 설치하게 해요? \| 20.01.04 20:49 \| \| \| 등록
i넘버원 (59705) (IP보기클릭)121.165.*.*	Qoosm 오히려 백신프로그램 때문에 취약점이 더 많아집니다 저는 카스퍼스키 아니면 안씁니다 \| 20.01.05 00:08 \| \| \| 등록
GabrielsOboe (1402822) (IP보기클릭)211.187.*.*	랜섬 제작자 왜 이리 찌질해보이지 등록	20.01.04 21:21
10041004 (4153654) (IP보기클릭)125.176.*.*	BEST 개색히는 끝까지 개색히네. 자기 나쁜짓 하는거 방해했다고 보복하는게... 죽으면 지옥갈 상이다 등록	20.01.04 21:34
EMCS (1889596) (IP보기클릭)210.91.*.*	BEST [삭제된 댓글의 댓글입니다.] JN$Q 러시아인. 안랩을 주로 욕한건 안랩이 킬스위치를 발견해서 백신을 만들어 배포했기 때문 \| 20.01.04 21:49 \| \| \| 등록
Bijou_Arinazmi (871226) (IP보기클릭)1.228.*.*	[삭제된 댓글의 댓글입니다.] JN$Q 읽어보면 알겠지만 러시아놈임 \ \| 20.01.04 21:54 \| \| \| 등록
AMD바이럴마케팀장 (4867031) (IP보기클릭)125.141.*.*	러시아 이 스발노무스키! 등록	20.01.04 22:06
maLignant (1202859) (IP보기클릭)121.168.*.*	"악성코드 제작자 : 안랩 명성에 구멍을 내줄 악성코드를 받아라. 이걸로 너(안랩)과 나의 점수는 1:1이다." 미틴놈일세 ㅋㅋ 등록	20.01.04 22:06
ootori (27750) (IP보기클릭)121.189.*.*	BEST 본문보다 댓글들이 참... 확인도 안된 편견으로 글 한줄 찍 쓰는 그런 에휴... 뭐뭐일듯 해놓고 아니면 말고식 등록	20.01.04 22:18
김장해버린다 (2976419) (IP보기클릭)118.235.*.*	캡챠는 보통 옛날 애드웨어 가짜백신들이 쓰던거라 V3서 보여서 뭔가 했더니 저런 비밀이 등록	20.01.04 22:32
주시자의 눈 (3656411) (IP보기클릭)59.27.*.*	근데 안랩 세이프 트랜젝션은 왜 작업관리자에서 강제종료 하려고 하면 작업관리자가 꺼지게 만든걸까요 등록	20.01.04 23:23
작성자 my com (3015641) (IP보기클릭)121.165.*.*	BEST 주시자의 눈 공공기관에 납품하려면 CC인증을 받아야 합니다. 백신이 강제종료 당하면 인증을 받을수 없습니다. 작업관리자로 강제 종료 당하면 공공기관에 납품을 할수 없습니다. \| 20.01.04 23:45 \| \| \| 등록
아잉팥만져6세 (570676) (IP보기클릭)115.161.*.*	안랩에서 STE를 거의 2년 가까이 했었는데.. 뭔가 어떻게 진행되는지 머리속에서 마구 돌아가는군요.. QA들 노가다와, 그 대머리이신(한국에서 다섯 손가락 안에 드는 실력자) 분석 전문가 분 하고 얼마나 고생했을지 .. 참. 등록	20.01.05 00:17
하늘로솟는번개 (1302229) (IP보기클릭)118.33.*.*	뭔가 우주에서 볼펜을 쓰기 위해 노력하던 미국과 연필을 쓴 소련이 생각나네. 이번엔 반대?지만. 등록	20.01.05 00:23
hiro116 (8334) (IP보기클릭)218.148.*.*	범죄자의 사고방식은 역시 다르구만... 등록	20.01.05 01:03
Pax (1158097) (IP보기클릭)175.212.*.*	왜 나쁜짓하다 잡힌놈들이 자기 신고한 사람한테 보복하려고 들잖음. 딱 그거지. 등록	20.01.05 01:36

로그인이 필요합니다.

글쓰기

읽을거리

2024.05.15 25053 256

[게임툰] 레트로로 그린 잔혹동화, 리틀 구디 투 슈즈 (49)

2024.05.07 58589 23

[PC] 2년 기다림이 아깝지 않은 장독대 묵은지, 브이 라이징 (21)

2024.04.25 128371 168

[PS5] 국산 게임의 별로서 기억될 칼, 스텔라 블레이드 (151)

2024.04.25 113401 40

[MULTI] 탐험으로 가득한 사막과 맛있는 메카 전투, 샌드랜드 (40)

글쓰기

공지

스킨

인증글 베스트

ID	구분	제목	글쓴이	추천	조회	날짜
118	전체공지	업데이트 내역 / 버튜버 방송 일정	8[RULIWEB]			2023.08.08
352195	공지	국내외 언론 및 웹진 불펌 금지. (2)	관리자	6	181329	2010.06.22
핫딜! [네이버페이] 일일적립, 클릭 32원
2130524	ETC	비트코인 이더리움 지금 투자해도 될까요? (84)	간다간다 쑝간다	1	17118	2017.06.17
1320375	ETC	스팀OS 설치하기…내 PC가 스팀머신으로 변신 (38)	알비토스[티나가 체고시다]	7	17107	2014.02.19
2184282	ETC	'경력없는 신인 환영'..잘나가는 유튜버 뒤엔 편집자 열정페이 논란 (18)	배드뉴스는출처부터	14	17099	2019.05.08
2104662	ETC	게임개발자연대 긴급사안 발표 (139)	닥터M	27	17094	2016.07.22
2145502	ETC	사람들은 왜 별풍선을 (안) 쏠까? (30)	vakva	3	17053	2017.12.15
2171026	ETC	음란물 스트리밍 영상 차단…정부, 내년 20억원 추가 (88)	루리웹-2556614399	17	17053	2018.11.22
2265604	ETC	트위치, 한국만 VoD 콘텐츠 중단...방통위 실태조사 반발? (41)	춘리허벅지	23	17043	2022.11.10
2198146	ETC	"월 37억 벌어보자"…70만원 '유튜버 되기' 인강도 나왔다 (85)	Tifa Lockhart	9	17042	2019.11.07
2113135	ETC	집 와이파이 이름에 IS 쓴 프랑스 10대 집행유예 (37)	안녕하시렵니까아	9	17041	2016.11.05
2130605	ETC	비트코인 채굴 위해 PC방 위장 창업도? (29)	lille	1	17041	2017.06.19
2201903	ETC	이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) (23)	my com	22	17038	2020.01.04
2168962	ETC	"IPTV 해지하겠다"했더니 백화점 상품권 11만원이 들어왔다 (52)	고보습 영양크림	15	17035	2018.10.31
2237649	ETC	태국 청년이 컴퓨터 여러대 돌리며 암호화폐 채굴하다가 감전사 (20)	무한궤도:여름 이야기	34	17030	2021.07.24
2246114	ETC	이재명, 73만 게임유튜버와 인터뷰 예정.. 한다던 윤석열은 혼선 (39)	한로비	42	17029	2021.12.09
2213052	ETC	국세청, 아마존에 법인세 1500억 추징 (18)	란마다	22	17025	2020.07.21
2130228	ETC	랜섬웨어 피해입은 "인터넷나야나" 대표이사 공지 (65)	캐독교다죽어라	26	17021	2017.06.14
2134251	ETC	네이버, ‘야사·야동’ 자동 필터링···네티즌 "구글로 가지, 뭐" (44)	위탁경영	39	17002	2017.07.31
2181334	ETC	아마존 한국어 지원 (29)	물개의 아스투리아스	46	16992	2019.03.27
2237651	ETC	"손실만 3천만원, 그 때 팔아야 했는데" 껄무새 된 코인 투자자의 한숨 (30)	무한궤도:여름 이야기	13	16991	2021.07.24
2272721	ETC	“망 사용료 입법, 반대 43% vs. 찬성 30%” (65)	루리웹-2727598421	16	16978	2023.03.20
2127313	ETC	中 바이두, 실명제 도입.. 개인정보 입력해야 (36)	앰버한	5	16975	2017.05.08
2146383	ETC	정부규제 우스운 비트코인 2000만 원 돌파...리플 등 가상화폐 일제 ... (91)	멍뭉이 찰리	6	16974	2018.01.03
2225103	ETC	대만 TSMC, 주가 폭락으로 시총 65조원 증발 (30)	대한제국군	13	16971	2021.01.28
2147239	ETC	저커버그 페이스북 CEO, 하루에 재산 3.5조원 증발…왜? (21)	치츄	6	16968	2018.01.14
2146292	ETC	국내 연구진, 종이로 PC키보드 만드는데 성공 (16)	란마다	13	16964	2017.12.31
2152935	ETC	테슬라 회계 책임자 회사 떠났다, 파산임박? (53)	로하스	4	16935	2018.04.02
2174278	ETC	1분마다 400시간 업로드되는 유튜브…구글은 어떻게 유튜브를 황금거위로 ... (50)	사쿠라모리 카오리P	5	16934	2019.01.01
2252921	ETC	중국, 비트코인 단속 이어 NFT도 규제 (42)	사쿠라모리 카오리P	28	16926	2022.04.16

글쓰기 총 14742개의 글이 있습니다.

인증글 베스트 목록

11 12 13 14 15 16 17 18 19 20

i넘버원 (59705) (IP보기클릭)121.165.*.*	[삭제된 댓글의 댓글입니다.] 피자맛치즈 결국 방어를 못해서 캡챠가 생긴거 ㅜㅜ \| 20.01.05 00:07 \| \| \| 등록
작성자 my com (3015641) (IP보기클릭)121.165.*.*	i넘버원 방어한건 맞습니다. 캡챠를 도입한 이후 갠드크랩은 v3 삭제기능을 제거했거든요. 만약 방어를 못했다면 캡차도 우회하고 v3가 삭제되었을겁니다. 갠드크랩은 이후 v3 삭제를 포기하고 방해하는쪽으로 방향을 바꿉니다. \| 20.01.05 00:15 \| \| \| 등록
Sekiro (5053223) (IP보기클릭)223.38.*.*	my com 캡챠 생기기 이전에 방어를 못한거 맞잖음? 생긴 이후로 방어해서 v3 삭제기능 제거한거구 \| 20.01.05 08:07 \| \| \| 등록
작성자 my com (3015641) (IP보기클릭)223.62.*.*	Sekiro 이전에 시도한 방식이 1. 뜬금없이 v3 삭제창이 뜨고 사용자가 실수로 예를 누르게 유도하는 방식 2. 삭제창을 숨기고 자동으로 예를 클릭하는 방식 이런식입니다. 그거 방어한다고 정상적인 언인스톨 기능을 빼버릴수는 없잖아요. \| 20.01.05 09:34 \| \| \| 등록
Exclusive (1706888) (IP보기클릭)58.238.*.*	Sekiro 좀 읽어보세요. 캡챠 넣기 전에도 V3 행위기반으로 막고 취약점은 패치를 했다는데요. \| 20.01.05 14:01 \| \| \| 등록
shimaz (749) (IP보기클릭)61.74.*.*	BEST 캡챠 보고 어이 없었는데 저런 이유가.. 등록	20.01.04 20:27
마법의힘 (1069100) (IP보기클릭)124.62.*.*	안랩 뚫으면 은행권에 침투가 수월해지니 그런거겠죠 등록	20.01.04 20:42
Qoosm (93366) (IP보기클릭)183.102.*.*	마법의힘 외국 은행권도 안랩 보안 프로그램 강제로 설치하게 해요? \| 20.01.04 20:49 \| \| \| 등록
i넘버원 (59705) (IP보기클릭)121.165.*.*	Qoosm 오히려 백신프로그램 때문에 취약점이 더 많아집니다 저는 카스퍼스키 아니면 안씁니다 \| 20.01.05 00:08 \| \| \| 등록
GabrielsOboe (1402822) (IP보기클릭)211.187.*.*	랜섬 제작자 왜 이리 찌질해보이지 등록	20.01.04 21:21
10041004 (4153654) (IP보기클릭)125.176.*.*	BEST 개색히는 끝까지 개색히네. 자기 나쁜짓 하는거 방해했다고 보복하는게... 죽으면 지옥갈 상이다 등록	20.01.04 21:34
EMCS (1889596) (IP보기클릭)210.91.*.*	BEST [삭제된 댓글의 댓글입니다.] JN$Q 러시아인. 안랩을 주로 욕한건 안랩이 킬스위치를 발견해서 백신을 만들어 배포했기 때문 \| 20.01.04 21:49 \| \| \| 등록
Bijou_Arinazmi (871226) (IP보기클릭)1.228.*.*	[삭제된 댓글의 댓글입니다.] JN$Q 읽어보면 알겠지만 러시아놈임 \ \| 20.01.04 21:54 \| \| \| 등록
AMD바이럴마케팀장 (4867031) (IP보기클릭)125.141.*.*	러시아 이 스발노무스키! 등록	20.01.04 22:06
maLignant (1202859) (IP보기클릭)121.168.*.*	"악성코드 제작자 : 안랩 명성에 구멍을 내줄 악성코드를 받아라. 이걸로 너(안랩)과 나의 점수는 1:1이다." 미틴놈일세 ㅋㅋ 등록	20.01.04 22:06
ootori (27750) (IP보기클릭)121.189.*.*	BEST 본문보다 댓글들이 참... 확인도 안된 편견으로 글 한줄 찍 쓰는 그런 에휴... 뭐뭐일듯 해놓고 아니면 말고식 등록	20.01.04 22:18
김장해버린다 (2976419) (IP보기클릭)118.235.*.*	캡챠는 보통 옛날 애드웨어 가짜백신들이 쓰던거라 V3서 보여서 뭔가 했더니 저런 비밀이 등록	20.01.04 22:32
주시자의 눈 (3656411) (IP보기클릭)59.27.*.*	근데 안랩 세이프 트랜젝션은 왜 작업관리자에서 강제종료 하려고 하면 작업관리자가 꺼지게 만든걸까요 등록	20.01.04 23:23
작성자 my com (3015641) (IP보기클릭)121.165.*.*	BEST 주시자의 눈 공공기관에 납품하려면 CC인증을 받아야 합니다. 백신이 강제종료 당하면 인증을 받을수 없습니다. 작업관리자로 강제 종료 당하면 공공기관에 납품을 할수 없습니다. \| 20.01.04 23:45 \| \| \| 등록
아잉팥만져6세 (570676) (IP보기클릭)115.161.*.*	안랩에서 STE를 거의 2년 가까이 했었는데.. 뭔가 어떻게 진행되는지 머리속에서 마구 돌아가는군요.. QA들 노가다와, 그 대머리이신(한국에서 다섯 손가락 안에 드는 실력자) 분석 전문가 분 하고 얼마나 고생했을지 .. 참. 등록	20.01.05 00:17
하늘로솟는번개 (1302229) (IP보기클릭)118.33.*.*	뭔가 우주에서 볼펜을 쓰기 위해 노력하던 미국과 연필을 쓴 소련이 생각나네. 이번엔 반대?지만. 등록	20.01.05 00:23
hiro116 (8334) (IP보기클릭)218.148.*.*	범죄자의 사고방식은 역시 다르구만... 등록	20.01.05 01:03
Pax (1158097) (IP보기클릭)175.212.*.*	왜 나쁜짓하다 잡힌놈들이 자기 신고한 사람한테 보복하려고 들잖음. 딱 그거지. 등록	20.01.05 01:36

본문

PS4 / PS5

XBO / XBSX

SWITCH

PSP / VITA

NDS / 3DS

판매순위

콘솔

PC

모바일

해외 버튜버

취미

예판/핫딜

종합게시판

봇게시판

RULICON

도쿄게임쇼

지스타

E3 expo

PlayX4

게임스컴

콘솔 스샷

PC온라인 스샷

PC패키지 스샷

모바일 스샷

(구)스샷/영상

콘솔 영상

PC온라인 영상

PC패키지 영상

모바일 영상

PC 정보

[ETC] 이제는 말할 수 있다! 안랩 vs 갠드크랩(GandCrab) [23]