AppCheck 안티랜섬웨어 제품이 .sage 파일 확장명으로 암호화를 수행하는 Sage Ransomware 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

참고로 AppCheck Pro 정품 버전은 생성된 악성 파일을 .bak 확장명으로 수정하여 재실행되지 못하도록 변경하므로, Ransomware 행위 탐지 후 백신 프로그램을 이용한 정밀 검사 또는 사용자가 직접 악성 파일을 찾아 삭제하시기 바랍니다. 또한 암호화된 파일(.sage)을 자동 복원 과정에서 삭제되지 않으므로 사용자가 직접 암호화된 파일을 삭제하시기 바랍니다.

• Distribution Method : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

• MD5 : 7276b98ab2659a8d3779e599daa1d8a0

• Major Detection Name : Ransom.SageLocker (Malwarebytes), Ransom_SAGE.F116L7 (Trend Micro)

• Encrypted File Pattern : .sage

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\Temp\ADbrTPOS.html (Random)
    - C:\Users\%UserName%\AppData\Roaming\eAhUGkfQ.exe (Random)
    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\efrTHCfI.lnk (eAhUGkfQ.exe 파일 실행, Random)
    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\XLYigAIU.lnk (ADbrTPOS.html 파일 실행, Random)
    - C:\Windows\System32\Tasks\efrTHCfI (eAhUGkfQ.exe 파일 실행, Random)

• Payment Instruction File : !Recovery_(6-Digit Random).html / !Recovery_(6-Digit Random).txt

• Major Characteristics : 오프라인 암호화(Offline Encryption), CryLocker Ransomware 계열, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\[Random].bmp) 변경