모두의 dream

공부를 하며 정리한 내용으로 잘못된 내용이 있을 수 있습니다. dnSpy를 이용하여 분석했습니다. (닷넷 디컴파일) 1. 정적분석 Windows7 32bit 에서 분석했다. detect it easy 에서 확인한 결과 .NET 기반으로 제작된 악성코드이다. (C#으로 개발됨.) 새로운 랜섬웨어 오닉스, 파일들을 파괴한다 (boannews.com) 최근기사에서 소개하고 있는 Onyx 랜섬웨어이다. 2. 동적분석 readme 파일이 생성되고 파일들이 암호화된다. (소유한 파일 중 hwp, mp4는 암호화 되지 않았다.) 혹시 몰라서 Windows7 64bit 환경에서 실행해봤는데 32bit 에서는 암호화되지 않은 mp4 확장자는 암호화되었다. (hwp는 여전히 멀쩡하다.) 암호화된 파일은 확장자가 바뀐다. ..

공부를 하며 정리한 내용으로 잘못된 내용이 있을 수 있습니다. x64dbg와 IDA를 이용하여 분석했습니다. 블로그에는 가독성을 위해 IDA 코드를 위주로 사진을 첨부했습니다. Detail 포스팅: HermeticWiper Malware (Detail) (tistory.com) 1. 정적분석 Windows7 32bit 에서 분석했다. (Windows10 에서도 정상적으로 작동함) 이름은 HermeticWiper, 우크라이나·러시아 전쟁에서 사이버공격에 사용된 악성코드다. HermeticRansom 이라는 랜섬웨어와 함께 사이버 공격에 사용됐다. (HermeticRansom은 복호화 프로그램이 나옴) 파일 유형: PE32 시간 날짜 스탬프(프로그램이 컴파일 된 시간): 2022-02-23, 러시아가 우크라..

공부를 하며 정리한 내용으로 잘못된 내용이 있을 수 있습니다. x64dbg와 IDA를 이용하여 분석했습니다. 블로그에는 가독성을 위해 IDA 코드를 위주로 사진을 첨부했습니다. Detail 포스팅에는 정말 자세하게 함수 하나하나 분석한 내용이 정리되어 있습니다. 보고서: HermeticWiper Malware analysis report (tistory.com) 1. 정적분석 Windows7 32bit 에서 분석했다. (Windows10 에서도 정상적으로 작동 됨.) 32bit exe 실행파일임을 Detect It Easy 를 이용하여 확인했다. virus total 검색을 통해 이 악성코드의 이름을 찾을 수 있었다. 이름은 HermeticWiper, 우크라이나·러시아 전쟁에서 사이버공격에 사용된 악성코..