ย
ย
ย
1. ์ฌ์ ์ค๋น
- Redline ๋ค์ด๋ก๋
- ๋ฉ๋ชจ๋ฆฌ ๋คํ ๋ค์ด๋ก๋ (๋น๋ฐ๋ฒํธ 321)
ย
2. ํ์ด
Q1. Please you find the dropped dll, include the whole path including the dll file
- Process ์์์ ์์ํ ํ๋ก์ธ์ค ํฌ์ฐฉ
- File System์์ ํด๋น ํ์ผ ์ ๋ณด ํ์ธํ์ฌ dll ๋ชฉ๋ก ํ์ธ
- ์์ฌ ๋๋ MpsVc.dll์ ํด์ฌ๊ฐ์ VirusTotal์์ ๊ฒ์
์ ๋ต
C:\Users\charles\AppData\Local\Temp\MpsVc.dllย
Q2. What is the MD5 hash for the dll?
- dll ํ์ผ์ Details ์ฐฝ์ผ๋ก๋ถํฐ ํด์ฌ๊ฐ ํ์ธ
์ ๋ต
040818b1b3c9b1bf8245f5bcb4eebbbcย
Q3. What i s the name of ransomware note that got dropped?
- ๋ฐํํ๋ฉด์ ํ์ผ ๋ชฉ๋ก ํ์ธ
์ ๋ต
2s6lc-readmeย
Q4. What is the URL that the initial payload was downloaded fro m? (Include the whole URL with the payload)
- Prefetch์์ ์์ํ lsass.exe ํ์ผ ํ์ธ
- File Download History์์ ์ฃผ์ ํ์ธ
์ ๋ต
http://192.168.75.129:8111/Documents/lsassย
Q5. The ransomware drops the copy of the legitimate application into the Temp folder. Please provide the filename including the extension
- FileSystem์์ dll๊ณผ ๋์ผํ ์๊ฐ์ ์์ฑ๋ ํ์ผ ํ์ธ
์ ๋ต
MsMpEng.exeย
Q6. What is name of the ransomware?
- VirusTotal ์ ๋ณด๋ก๋ถํฐ ์ด๋ฆ ํ์ธ
์ ๋ต
sodinokibiย
ย
ย
ย
