[Reversing] MS Crypto API by 정현철 about Windows
- ERROR_ENCRYPT = 8;
- ERROR_DECRYPT = 9;
- CRYPT_USER_PROTECTED = $00000002;
[Malware analysis] Nemty 스페셜 에디션 랜섬웨어 by 정현철
- 이후 CryptAcquireContext()을 이용하여 CSP안에서 현재 사용자의 Key container의 핸들을 얻은 후 CryptImportKey()을 이용하여 키를 지정하는 걸 확인할 수 있다
- 다음으로는 다른 초기 문자열을 바이트 배열로 변환 후 CryptDecrypt()을 이용하여 디코딩 시 감염 이후 보여지는 랜섬노트 내용을 확인할 수 있다
- 러시아로 되어 있는 이름의 특정 Key container의 핸들 얻은 뒤 CryptExportKet()을 이용하여 RSA 공개키를 생성하는 것을 확인할 수 있다