- MD5 : a75ab387db577944d74d7102142f7231
- 주요 탐지명 : Win32/Filecoder.Ouroboros.A (ESET), Ransom_Genasom.R020C0DGA18 (Trend Micro)
- 파일 암호화 패턴 : <원본 파일명>.king_ouroboros.<원본 확장명>
- 악성 파일 생성 위치 :
- C:\Program Files (x86)\Common Files\log.txt
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup.exe
- 결제 안내 파일 : README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt
- 주요 특징 :
- 오프라인 암호화(Offline Encryption)
- 시스템 복원 무력화(vssadmin.exe Delete Shadows /All /Quiet, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- 파일 암호화 완료 후 Windows 자동 재부팅(shutdown -r -f -t 5)
- 작업 관리자 실행 차단(DisableTaskMgr)
- Windows Logon 메시지 생성
- 바탕 화면 배경(C:\Program Files\Common Files\wallpaper.jpg) 변경
목록