728x90
워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음
그 다음에는 리소스가 동작함!
리소스에서 tasksche.exe 실행파일이 동작한다.
여기에서 a.zip 파일을 꺼내서 추가적인 작업을 실행한다.
이 a.zip에 대한 파일들을 간략히 분석하면 다음과 같다.
| 파일/폴더명 | 내용 |
| b.wnry | 파일 암호화 후 설정되는 바탕화면 이미지 |
| c.wnry | Tor 네트워크 설정파일 (다운로드, 비트코인 계좌 주소) |
| r.wnry | 랜섬웨어 감염에 따른 비트코인 결제 안내문 (txt 파일) |
| s.wnry | Tor 네트워크 실행 모듈 (zip 압축 파일) |
| t.wnry | 암호화 모듈 파일 (.WNRY 형태로 암호화 되어 있음) -> 프로세스 시스템에 들어가서 직접적으로 암호화 수행 (암호화 루틴 있음!) |
| u.wnry | @WannaDecryptor@.exe 파일 (exe 파일) |
| taskdl.exe | 특정 경로의 ".WINCRYPT" 파일을 검색하여 삭제하는 프로그램 |
| taskse.exe | SYSTEM 권한으로 @WannaDecryptor@.exe 프로세스를 실행시키는 프로그램 |
| Msg(폴더) | @WannaCryptor@ 파일에서 사용될 언어 설정 파일 (28개 국어) |
728x90
'study > 악성코드 분석' 카테고리의 다른 글
| WannaCrypto 리소스 파일 내용 분석 (0) | 2024.03.25 |
|---|---|
| WannaCrypto 리소스 압축 패스워드 찾기 (0) | 2024.03.25 |
| WannaCrypto 웜 분석 (2) | 2024.03.16 |
| WannaCrypto 웜 동작 함수 찾기 (2) (0) | 2024.02.22 |
| WannaCrypto 웜 동작 함수 찾기 (1) (1) | 2024.02.11 |