[Malware analysis] Nemty 스페셜 에디션 랜섬웨어 참조> https://asec.ahnlab.com/search/nemty Nemty 스페셜 에디션 랜섬웨어는 캠페인을 통해 배포되는 것으로 확인되었으며, 첨부파일 및 다운로드 링크로 악성 파일을 포함한다.본 블로그에는 늦은감이 있지만, Nemty 스페셜 에디션에 대한 분석 내용을 작성하겠습니다."전산 및 비전산자료 보존 요청서.zip" 첨부파일을 통해 배포하였으며, 압축 해제 시 (그림 1)와 같이 한글파일로 위장한 .exe 실행 파일을 확인할 수 있다.(그림 1) 해당 파일을 실행하게 되면 바탕화면이 변하면서 여러명의 확장자를 가진 파일들이 (그림 2)와 같이 NEMTY_[랜덤한 문자]로 변경이 되는 것을 알 수 있다. (그림 2) 암..
[Reversing] MSCryptoAPI unit MSCryptoAPI; interface uses Windows, KOL; // Constants for HiAsm Componentsconst NO_ERROR = 0; ERROR_INVALID_PARAMETER = 1; ERROR_INCORRECT_KEY = 2; ERROR_ACQUIRE_CONTEXT = 3; ERROR_GENERATION_KEY = 4; ERROR_GENERATION_KEYPAIR = 5; ERROR_GET_USER_KEY = 6; ERROR_DERIVE_KEY = 7; ERROR_ENCRYPT = 8; ERROR_DECRYPT = 9; ERROR_CREATE_HASH = 10; ERROR_HASH_DATA = 11; ERROR_G..
- Total
- Today