AppCheck 안티랜섬웨어 제품이 .(원본 확장명)EncrypTile.(원본 확장명) 파일 확장명으로 암호화를 수행하는 EncrypTile Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : Unknown

• MD5 : 989114c86abf8b8f01b9f412cf48ffc8

• Major Detection Name : Ransom.Enciphered (Norton), Ransom_ENCRYPTILE.A (Trend Micro)

• Encrypted File Pattern : .(원본 확장명)EncrypTile.(원본 확장명)

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\bitcoin_pay.txt
    - C:\Users\%UserName%\AppData\Local\encryptile.exe (숨김(H), 시스템(S) 파일 속성)
    - C:\Users\%UserName%\AppData\Local\notepad.exe
    - C:\Users\%UserName%\AppData\Local\Readlist.txt

• Payment Instruction File : 비트 코인 구매 방법_(Random).txt / 해독_(Random).html / 해독_(Random).jpg / 해독_(Random).txt

• Major Characteristics : 오프라인 암호화(Offline Encryption), 한국어 결제 안내 메시지 생성, Ransomware 결제 안내 메시지 생성 후 Windows 탐색기(explorer.exe), 웹 브라우저 등 필수 프로그램을 제외한 모든 프로세스 실행 방해 및 Lock Screen 생성, 폴더 옵션의 "보호된 운영 체제 파일 숨기기(권장)", "숨김 파일, 폴더 및 드라이브 표시" 설정 기본값 고정, 시작 프로그램(Run, RunOnce) 등록값 반복적인 추가, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\해독_RQ1OTIT375.jpg) 변경