티스토리 뷰

악성코드 정보

드리덱스 형식으로 유포되는 Locky Ransomware

Heavy_Rain 2016. 2. 17. 12:16


악성코드 정보
현재 유포되고 있는 럭키 랜섬웨어는 드리덱스 악성코드와 같이 문서의 메크로 형식으로 유포되고 있다.
문서파일의 매크로로 악성파일을 다운받고 실행하여 사용자의 PC를 감염시킨다.


테스트 환경
Windows XP x86

분석정보
문서 내 메크로의 일부분으로, 자바스크립트를 이용하며 난독화가 되어있다.



다음 위치에 파일을 생성한다.

C:\Documents and Settings\Administrator\Local Settings\Temp\nchiromantic.exe (감염 후 자신 삭제)



OS 운영체제 확인




암호화 제외 위치




암호화 파일




*.key *.CSV *.sxc *.123 *.odg *.SQLITE3 *.cpp *.java *.gif *.bz2 *.vob
*.crt *.txt *.stc *.wb2 *.otg *.SQLITEDB *.pas *.jar *.png *.PAQ *.mpeg
*.csr *.xml *.dif *.odp *.sxm *.sql *.asm *.class *.bmp *.ARC *.asf
*.p12 *.3ds *.xlc *.otp *.mml *.mdb *.h *.pl *.svg *.aes *.avi
*.pem *.max *.xlm *.sxi *.docb *.db *.js *.sh *.djvu *.gpg *.mov
*.DOC *.3dm *.xlt *.sti *.ppam *.dbf *.vb *.bat *.djv *.vmx *.mp4
*.odt *.DOT *.xlw *.pps *.ppsx *.odb *.vbs *.cmd *.zip *.vmdk *.3gp
*.ott *.docx *.slk *.pot *.ppsm *.frm *.pl *.psd *.rar *.vdi *.mkv
*.sxw *.docm *.xlsb *.sxd *.sldx *.MYD *.dip *.NEF *.7z *.qcow2 *.3g2
*.stw *.dotx *.xlsm *.std *.sldm *.MYI *.dch *.tiff *.gz *.mp3 *.flv
*.PPT *.dotm *.xlsx *.pptm *.ms11 *.ibd *.sch *.tif *.tgz *.wav *.wma
*.XLS *.602 *.xltm *.pptx *.ms11(Security copy) *.mdf *.brd *.jpg *.tar *.swf *.mid
*.pdf *.hwp *.xltx *.potm *.lay *.ldf *.cs *.jpeg *.bak *.fla *.m3u
*.RTF *.ods *.wk1 *.potx *.lay6 *.php *.asp *.cgm *.tbk *.wmv *.m4u
*.uot *.ots *.wks *.uop *.asc *.c *.rb *.raw *.tar *.mpg

wallet.dat




감염된 파일의 이름을 개인 ID +a.locky로 변경






저작자표시

'악성코드 정보' 카테고리의 다른 글

locky ransomware javascript 분석  (0) 2016.03.17
웹캠 악성코드  (0) 2016.01.21
성인 플래시 게임을 통한 악성코드 유포  (0) 2016.01.13
더 강력해진 위협, Teslacrypt  (0) 2015.12.15
메일의 첨부파일로 유포되는 테슬라크립트  (0) 2015.12.11
공유하기 링크
댓글