지은이는 지은이

2024.03.23 - [study/보안] - WannaCrypto 리소스 파일 추출 WannaCrypto 리소스 파일 추출 워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음 그 다음에는 리소스가 동작함! 리소스에서 tasksche.exe 실행파일이 동작한다. 여기에서 a.zip lucykorea414.tistory.com 위 게시글에서 파일에 대한 설명을 간략히 알아볼 수 있었는데, 실제로 분석을 해봅시다!! msg 폴더 언어 종류별로 다 적혀있다. 아마 화면에 랜섬웨어 메세지 띄울때 시스템의 언어를 감지하여 언어별로 출력할 수 있게 미리 만들어놓은것인듯!! b.wnry 얘를 실행하니 갑자기 바탕화면이 까만색으로 바뀌었다... 내용은 이렇게 되어있는데 아..

전에 이미 랜섬웨어에 걸린 윈도우에서 pestudio를 열어준다 여기에 이제 C드라이브에 있는 a.exe를 드롭해주면 이렇게 떠야 하는데... 더보기 나는 왜 안뜰까 ㅜㅜ 이렇게 아무것도 안뜸... 뭐지? 일단 강의 내용 바탕으로 쓰기.. 이 a.exe 같은 경우에는 킬스위치, 네트워크 전파, 드로핑하고 파일을 설치하는 등의 일들을 함!! 여기서 리소스를 클릭하면 a.exe 안에 숨겨진 파일을 볼 수 있음!! 맨 위에 있는 R 의 dump를 떠서 바탕화면에 b.exe로 저장해줍니당 (얘가 사실 나중에 taskche.exe 임) 이걸 다시 pestudio로 열자~~ 여기에 resources(PKZIP) 이라고 있음!!! 여기서 보면, 전체 b.exe 파일의 크기의 98퍼를 이 pkzip 파일이 차지하는 것..

워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음 그 다음에는 리소스가 동작함! 리소스에서 tasksche.exe 실행파일이 동작한다. 여기에서 a.zip 파일을 꺼내서 추가적인 작업을 실행한다. 이 a.zip에 대한 파일들을 간략히 분석하면 다음과 같다. 파일/폴더명 내용 b.wnry 파일 암호화 후 설정되는 바탕화면 이미지 c.wnry Tor 네트워크 설정파일 (다운로드, 비트코인 계좌 주소) r.wnry 랜섬웨어 감염에 따른 비트코인 결제 안내문 (txt 파일) s.wnry Tor 네트워크 실행 모듈 (zip 압축 파일) t.wnry 암호화 모듈 파일 (.WNRY 형태로 암호화 되어 있음) -> 프로세스 시스템에 들어가서 직접적으로 암호화 수행 (암호..

랜섬웨어 - 몸값을 뜻하는 Ransome + 제품을 뜻하는 Ware - 사용자의 동의 없이 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화 - 암호화된 파일을 인질로 잡아 금전을 요구하는 악성코드 랜섬웨어의 주요 증상 - "랜섬웨어에 감염이 되었습니다" 돈을 요구하는 협박 메세지 페이지 출력 - 파일, 문서 등 암호화 되어 있음 - 암호화된 파일을 열 수 없음 - 중요 시스템 프로그램이 열리지 않음 - 별도의 다른 악성코드를 심기도 함 - 실행되면 숙주 파일이 사라지는 경향이 있어 한번 암호화 끝나면 다시 암호화 되지 않음 - MBR을 악성 MBR로 교체하여 부팅 안되게끔 함 주요 전파 경로 - 침투: 이메일이나 악성 사이트에 악성코드 삽입 - 감염: 사용자의 이메일 첨부파일이나 악성사이트에 의한 감염..