[Malware analysis] 전산 및 비전산자료 보존 요청서.zip

[Malware analysis] 전산 및 비전산자료 보존 요청서.zip

참조 

> https://blog.alyac.co.kr/3286?category=957259

> https://jeongzzang.com/135

최근 또 다시 이력서로 위장한 Makop 랜섬웨어 유포 중이라는 것을 확인할 수 있다.

공정거래위원회를 사칭한 조사 통지서 첨부 파일 실행을 유도하는 악성 메일을 확인할 수 있다.

첨부된 압축파일은 이중 압축되어 있으며, zip 파일 해제 시, alz 파일 확인할 수 있다.

pdf로 위장한 exe 파일을 확인할 수 있으며, 동일 해시 값을 가지는 것을 확인할 수 있다.

파일명 : 부당 전자상거래 위반행위 안내(20201006)자료 반드시 준비해주세요.exe

.exe 파일 실행 및 실행 파일에 의한 프로세스를 확인할 수 있다.

wbadmin(백업 명령중 도구)를 통한 시스템 백업을 확인할 수 있다.

vssadmin(볼륨 섀도 복사본 서비스 관리 도구)를 통한 볼륨 섀도 복사본 삭제를 확인할 수 있다.

cmd.exe wbadmin delete catalog -quiet cmd.exe vssadmin delete shadows /all /quite

iplogger.com과의 통신을 통해 ip 조회를 확인할 수 있다.

이후 pc 내 파일에 대한 암호화를 진행하는 것을 확인할 수 있다. 마지막으로는 랜섬노트를 확인할 수 있다.

참조 블로그를 보게 되면 과거 분석한 것을 확인할 수 있다.