봔하는 수달

구분 Basta Ransomware MD5 998022b70d83c6de68e5bdf94e0f8d71 TimeStamp 2022/04/16 06:29:58 UTC 주요 동작 파일 암호화 레지스트리 생성 프로세스 종료 서비스 종료 VSS 종료 및 삭제 USER 그룹 권한 변경 □ 분석 결과 o Black basta 해당 악성코드는 서유럽권 및 미국을 대상으로 공격을 진행했던 APT 형식의 랜섬웨어로서, 지금까지 발견된 다른 랜섬웨어와 비슷한 동작을 진행하며 암호화 알고리즘으로는 ChaCha20알고리즘을 사용하는 것으로 파악됨. □ 악성코드 동작 과정 악성코드 실행 메타 정보 입수 (시간, 프로세스, 스레드, 실행시간) 디버깅 탐지 중복실행 방지를 위해 뮤텍스 생성 VSS 서비스 중지 및 삭제 레지스트리 생..

주요정보 MD5 9d418ecc0f3bf45029263b0944236884 C&C 서버 주소 "securebesta****.com" 타임 스탬프 2020/12/23 17:01:07 UTC 악성코드 동작 과정 1. 악성코드 실행 2. 관리자권한 확인 3. 악성코드 권한 상승 4. 사용자의 MachineGuid 획득 5. MachinGuid를 통한 확장자 생성 6. 감염 파일 아이콘 생성 7. 레지스트리 생성 8. 중복실행 방지를 위한 뮤텍스 생성 9. 디스플레이 꺼짐 방지 10. 시스템 사용언어 확인 11. 시스템 정보 획득 12. C&C 연결 및 데이터 전달 13. 휴지통 비우기 14. 볼륨쉐도우 복사본 삭제 15. 특정 서비스 중지 16. 특정 프로세스 중지 17. 암호화를 위한 쓰레드 생성 18. 암..