본문 바로가기
Malware Analysis/- Ransomware Analysis

Satana Ransomware Analysis

김현17 2018. 2. 23. 15:27

Summary(Sanata Ransomware Time table)

 

Symptoms of compromise

# 위와같이 돈을 요구하는메시지박스와 바탕화면에는 !satana!.txt 및 바탕화면에있던 파일이 암호화되었다. 

 

# satana.exe를 실행했던 폴더에는 satana.exe파일이 사라지고, !sanata!.txt가 생겼다.

# 여기저기 확인해보니 모든 폴더에 !sanata!.txt가 생성되었음을 확인했다.

# 또한 processhacker를 통해 강제 terminate를 안해준다면 시스템이 자동으로 reboot된다.

 

 

 

Analysis tool

1. sysmon

2. Autoruns

3. procmon

 

1. sysmon

 

1). Process create

 

 

 

 

 

 

2). Process Terminate

 

 

 

 

 

 

2. Autoruns.exe

 

 

3. Procmon

self copy satana.exe

 

Add Registry

 

satana.exe copy alztoevn.exe

 

start encryption

 

network connection but Reconnect

 

 

'Malware Analysis > - Ransomware Analysis' 카테고리의 다른 글

Cerber Ransomware Analysis  (0) 2018.02.21
TeslaCrypt Ransomware analysis  (0) 2018.02.11
Jigsaw Ransomware analysis  (1) 2018.02.05

'Malware Analysis/- Ransomware Analysis' Related Articles

티스토리툴바