랜섬웨어 - CryptXXX

 

랜섬웨어 - CryptXXX

 

 

 

■ CryptXXX 랜섬웨어 감염 시 화면

 

 

 

 

 

 

 

■ 특징

 

    - 감염 PC 사용자 정보 탈취

    - 시스템 내의 특정파일을 .crypt 확장자로 변경하고 암호화

    - dll 파일로 특정 프로세서에 인젝션 되어 동작

 

 

 

■ 감염 동작

 

1. 감염 시스템 ID 생성

 

   C:\Documents and Settings\All Users\Application Data\9A517148015D.dat

    (감염 시스템 식별자).dat  // 감염 시스템 마다 다름

 

 

 

9A517148015D.dat 의 내용    //  3 byte

 

 

 

2. Dll 로드

 

   CryptXXX 랜섬웨어가 dll 형태로 배포되어 특정 프로세서(.exe)를 통해서 로더가 된다. Rundll32.exe 파일을 복사하여 자신을 인젝션 시키고 동작한다. 최근에는 svchost.exe(=Rundll32.exe) 를 dll 이 있는 위치에 복사하고 로드하여 동작한다.