728x90
반응형
Dharma
암호화 완료 후 파일 상태
Shell Folder 삭제
암호화 이후 파일 구조
- EOF부분에 원본파일명 등 암호화관련 데이터를 삽입함.
파일 암호화 과정
- 임의 키 생성 후 AES-256를 통해 파일 암호화
동작방식
- CreateFile -> ReadFile -> Encryption -> WriteFile -> Close Handle
- CreateFile(Delete) -> Close Handle
- Drive Scan
- Encrypt
GandCrab
암호화 완료 후 파일 상태
암호화키 생성후 레지스트리 저장
파일 암호화 과정
- Salsa20 Key, Nonce를 Local RSA로 암호화
동작방식
- ReadFile -> WriteFile -> Encryption -> Rename -> Close Handle
Locky(.asasin)
##
파일 암호화 과정
동작방식
- ReadFile -> WriteFile -> Encryption -> Rename -> Close Handle
- DriveScan
CLOP
파일 암호화 과정
- CreateFile -> ReadFile -> Encryption -> WriteFile -> Close Handle
- CreateFile(Delete) -> Close Handle
728x90
반응형
'공부 > Reverse Engineering' 카테고리의 다른 글
| 중국 세무 프로그램에서 설치되는 백도어(Backdoor) (0) | 2024.06.20 |
|---|---|
| 스택(Stack) - sfp / ret (0) | 2021.02.19 |
| Shellcode (0) | 2021.02.16 |
| Test about Ransomware Behavior by Deactivating Trim in SSD - CryptoShield (0) | 2021.01.08 |
| 소프트웨어 해킹? Vulnerability (0) | 2020.07.11 |
