AppCheck 안티랜섬웨어 제품이 MS Word 문서(.doc) 형태로 유포하여 .locked 파일 확장명으로 암호화를 수행하는 RAA Ransomware 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 메일 첨부 파일(MS Word 문서)

• MD5 : 5492890009e6f475d85db737d0c4a924

• Major Detection Name : JS/Filecoder.RAA.K (ESET), Trojan.VBS.Agent.adi (Kaspersky)

• Encrypted File Pattern : .locked

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\Temp\_MICRO~1.JS
    - C:\Users\%UserName%\Documents\dfsdb.js
    - C:\Users\%UserName%\Documents\doc_attached_(Random)
    - C:\Users\%UserName%\Documents\(Random).dll
    - C:\Users\%UserName%\Documents\ii.exe

• Payment Instruction File : !!!README!!!(Random).rtf

• Major Characteristics : 오프라인 암호화(Offline Encryption), JavaScript 방식의 Ransom32 Ransomware 계열, 러시아어(Russian) 사용자 표적, FTP 계정 정보 수집 및 유출