DLL 파일로 돌아온 Locky 랜섬웨어 주의
1. 개요
2. 분석 정보
2-1. 파일 정보
구분 |
내용 |
파일명 |
locky.js (임의의 파일명) |
파일크기 |
88,107 byte |
진단명 |
Script/W32.Locky |
악성동작 |
랜섬웨어 다운로더 |
네트워크 |
213.***.**.169 – 랜섬웨어 다운로드 |
구분 |
내용 |
파일명 |
xpJcmRk8Ng.dll (임의의 파일명) |
파일크기 |
135,168 byte |
진단명 |
Ransom/W32.Locky.135168.C |
악성동작 |
파일 암호화 |
네트워크 |
138.***.***.196 – C&C |
2-2. 실행 과정
[그림 1] 감염된 사용자 PC 화면
3. 악성 동작
3-1. 랜섬웨어 다운로드 및 실행
[그림 2] 인코딩 된 랜섬웨어 다운로드
[그림 3] rundll32.exe 를 통한 랜섬웨어 실행
3-2. 볼륨 섀도 복사본 삭제 및 파일 암호화
[그림 4] 섀도 복사본 삭제
[그림 5] 암호화된 파일과 랜섬노트
구분 |
내용 |
암호화 대상 파일 확장자 |
.n64 .m4a .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .wallet .upk .sav .re4 .ltx .litesql .litemod .lbf .iwi .forge .das .d3dbsp .bsa .bik .asset .apk .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key |
[그림 6] 랜섬노트 내용
[그림 7] 결제 안내 페이지
4. 결론
[그림 8] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면
[그림 9] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면
[그림 10] nProtect Anti-Virus/Spyware V4.0 랜섬웨어 차단 기능
'랜섬웨어 분석 정보' 카테고리의 다른 글
[악성코드 분석] 한국어 지원 프린세스 랜섬웨어 주의 (0) | 2016.10.06 |
---|---|
[악성코드 분석] 지정된 경로의 파일을 암호화 하는 Nullbyte 랜섬웨어 (0) | 2016.09.13 |
[악성코드 분석] DLL 파일로 돌아온 Locky 랜섬웨어 주의 (0) | 2016.09.07 |
[악성코드 분석] 말하는 랜섬웨어 Cerber 2 (0) | 2016.08.31 |
[악성코드 분석] 국내 메신저로 위장한 랜섬웨어 분석 (0) | 2016.08.23 |
[악성코드 분석] 파일을 제거하는 랜섬웨어, Ranscam 분석 (0) | 2016.08.10 |
