AppCheck 안티랜섬웨어 제품이 .fantom 파일 확장명으로 암호화를 수행하는 Fantom Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.
- Distribution Method : Unknown
- MD5 : 7d80230df68ccba871815d68f016c282
- Major Detection Name : a variant of Win32/Filecoder.Fantom.A (ESET), Ransom:MSIL/Fantomcrypt.A (Microsoft)
- Encrypted File Pattern : .fantom
- Malicious File Creation Location :
- C:\Users\%UserName%\AppData\Local\Temp\WindowsUpdate.exe (파일 암호화 후 자동 삭제)
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DECRYPT_YOUR_FILES.HTML
- Payment Instruction File : DECRYPT_YOUR_FILES.HTML
- Major Characteristics : 오프라인 암호화(Offline Encryption), EDA2 오픈 소스 기반 Ransomware, 가짜 Windows 업데이트(Configuring critical Windows Updates) Lock Screen을 통한 파일 암호화, Rush Ransomware(= Sanction Ransomware) 결제 안내 메시지와 유사, 바탕 화면 배경(C:\Users\%UserName%\2d5s8g4ed.jpg) 변경