Malware Analysis/- Ransomware Analysis (4) 썸네일형 리스트형 Satana Ransomware Analysis Summary(Sanata Ransomware Time table) Symptoms of compromise # 위와같이 돈을 요구하는메시지박스와 바탕화면에는 !satana!.txt 및 바탕화면에있던 파일이 암호화되었다. # satana.exe를 실행했던 폴더에는 satana.exe파일이 사라지고, !sanata!.txt가 생겼다. # 여기저기 확인해보니 모든 폴더에 !sanata!.txt가 생성되었음을 확인했다. # 또한 processhacker를 통해 강제 terminate를 안해준다면 시스템이 자동으로 reboot된다. Analysis tool 1. sysmon 2. Autoruns 3. procmon 1. sysmon 1). Process create 2). Process Terminate 2. .. Cerber Ransomware Analysis Summary(TeslaCrypt Ransomware Time table) Cerber.exe - Process create(3892) [+]Regisrtry => KHLM\SOFTWARE\Microsoft\Cryptography\MachineGuid [+]Regisrtry => KHLM\System\CurrentControlSet\Control\ComputerName [+]File Drop(not copy): C:\Users\kimhy\Desktop\malware\Ransomware.Cerber\Cerber.exe => C:\Users\kimhy\AppData\Roaming\CondSlate.dizL [+]File Drop(not copy): C:\Users\kimhy\Desktop\malware\Ra.. TeslaCrypt Ransomware analysis Summary(TeslaCrypt Ransomware Time table pestudio를 통한 사전 분석 # compiler-stamp를 보면 1970년.. ? 말이안된다. 의도적으로 변형시킨것을 확인할 수 있다. # 정적분석을 통해 확인해야 하겠지만, 위와같은 위험한 함수들을 사용하고 있다. Symptoms of compromise # 랜성웨어를 실행하면 위와 같이 돈을 요구함. # 바탕화면(왼쪽), 파일암호화(오른쪽) 및 바탕화면에 파일 생성. Analysis tool 1. sysmon 2. regshot, Autoruns 3. wireshark 4. procmon 1. sysmon 1). Process create TeslaCrypt.exe(SHA1=51B4EF5DC9D26B7A26E214CEE9.. Jigsaw Ransomware analysis Summary(Jigsaw Ransomware Time table) Jigsaw.exe - Process create(684) [+]Copy File: Jigsaw.exe => C:\Users\Scott\AppData\Roming\Frfx\firefox.exe [+]Copy File: Jigsaw.exe => C:\Users\Scott\AppData\Local\Drpbx\drpbx.exe [+]Add Registery => HKU\S-1-5-21-3088076523-2200090595-96777359-1000\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe: "C:\Users\kimhy\AppData\Roaming\Frfx\firefox.exe" +.. 이전 1 다음
