2024-10-09-21-07-36.png

BF 93 B7 B8 97 9C 9C 9B 92 BA 94 9F 99 DF C0 DD 로 일정하게 암호화 되어있는 느낌

S-2-1 자료와 연계된다고 하니 S-2-1에 랜섬웨어 로직이 있을 것 같음

여기있음

image.png

누가봐도 수상해보이는 함수 => heheware_com_pkg_utils_CreatePacket

dropper를 분석해서 VERYVERYIMPORTANTDOCUMENTATION.docx.hehe 파일을 복호화해야한다