- MD5 : e2825e7c7cec068e2a14dff6087d956b
- 주요 탐지명 : Trojan/Win32.Termite.C2723579 (AhnLab V3), Ransom.Termite.UPX (Malwarebytes)
- 악성 파일 생성 위치 :
- C:\Users\%UserName%\AppData\Local\Temp\<숫자>
- C:\Users\%UserName%\AppData\Local\Temp\<숫자>\TemporaryFile
- C:\Users\%UserName%\AppData\Local\Temp\<숫자>\TemporaryFile\TemporaryFile
- C:\Users\%UserName%\Desktop\Payment.exe
- C:\Windows\System32\mswsock.dll
- C:\Windows\SysWOW64\mswsock.dll
- C:\Windows\Termite.exe
- 주요 특징 :
- 오프라인 암호화(Offline Encryption)
- 영어(English) / 일본어(Japanese) / 중국어(Chinese) 사용자 표적
- Microsoft Windows 소켓 2.0 서비스 공급자 파일(mswsock.dll) 변경을 통해 mswsock.dll 모듈을 사용하는 프로그램 실행 시 랜섬웨어 실행
- 암호화된 파일(.Xiak) 실행 시 메시지 창(Payment.exe) 생성 및 랜섬웨어(C:\Windows\Termite.exe) 실행
목록