멀웨어의 startAction 메서드를 보면 사용자의 바탕화면을 파일 암호화의 최초 폴더로 잡고 있다. 또한 encryptDirectory 메서드를 보면 암호화 할 파일들의 확장자 목록을 갖고 있다. 암호화 대상인 txt 파일을 먼저 찾아봤다. Rick 계정의 바탕화면에 Flag.txt가 보인다. HxD로 열어보니 임의 비트열 뿐이다. 암호화 된 듯 하다. 48바이트 이후론 모두 NULL 바이트여서 제거했다. 멀웨어의 EncryptFile 메서드를 보면 앞서 생성했던 15자리의 암호키를 SHA256로 해시화한 후 AES_Encrypt 메서드의 암호키로 넘기는 걸 볼 수 있다. public byte[] AES_Encrypt(byte[] bytesToBeEncrypted, byte[] passwordByte..
