앱체크(AppCheck) Ransomware 백신이 CryptoWall Ransomware 감염 시 차단 모습과 "위협 로그" 기능을 통해 세부적인 랜섬가드 행위 정보를 확인할 수 있는 영상입니다.

위협 로그에서는 Ransomware 행위 탐지를 통해 차단된 프로세스(파일) 정보, Ransomware 대피소 기능을 이용한 일부 훼손된 파일에 대한 자동 복원 및 변경된 파일 이름 복원, 암호화된 파일 및 금전 요구 메시지 파일 자동 제거 정보를 제공합니다.

• Distribution Method : 광고 네트워크를 통해 Magnitude Exploit Kit을 이용한 취약점 감염

• MD5 : e5c3fa1f1b22af46bf213ed449f74d40

• Major Detection Name : Trojan/Ransom.CryptoWall (CheckMAL), Trojan.Ransom.CryptoWall (알약)

• Encrypted File Pattern : .v0l, .v0gbc 등 랜덤 확장명

• Malicious File Creation Location :

 - C:\Users\(로그온 사용자)\AppData\Roaming\47aacb9\047aac.exe (암호화 후 자동 삭제)
 - C:\Users\(로그온 사용자)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system (시작프로그램 폴더에 .pif 파일 등록)

• Reference : https://blog.malwarebytes.org/malvertising-2/2016/02/magnitude-ek-malvertising-deja-vu