Masscan 랜섬웨어 분석 시작

앞서 본 툴과 과정을 통해 내부망에 접근한 공격자는 C:\PerfLogs\masscan이라는 경로를 생성하고 Masscan 랜섬웨어를 실행하기 하기 위한 아래의 네개 파일을 생성한다.

 

- app.config

- EnCrypt.exe : 랜섬웨어 파일

- EnCrypt.exe.config : 암호화 관련 정보가 담긴 config 파일

- RunExe.exe : 랜섬웨어(EnCrypt.exe) 실행 및 삭제, 시스템 복원 방지

 

위의 과정을 통해 랜섬웨어의 동작이 이루어진다. 복호화 도구가 있긴 하지만 앞전 게시물에서도 언급했다시피 복호화를 위한 키 정보도 별도의 파일로 두어 관리를 하고 있어, 해당 키 파일이 없으면 복호화가 불가능하다.

 

지금까지 국내에서 발견된 Massacan 랜섬웨어는 Type-F, Type-R, Type-G로 구분된다.