AppCheck 안티랜섬웨어 제품이 Locky Ransomware와 Nemucod Ransomware가 함께 설치되어 파일 암호화를 동시에 수행하는 다중 Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 메일 첨부 파일 추정(.js)

• MD5 : 4fe781f7336120fb7ea6b9b7b4f410fd

• Major Detection Name : JS.Nemucod.4.Gen (BitDefender), TrojanDownloader:JS/Swabfex.C (Microsoft)

• Encrypted File Pattern : (Random).osiris <Locky Ransomware> / .crypted <Nemucod Ransomware>

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\Temp\a.exe (정상 파일, PHP Script Interpreter)
    - C:\Users\%UserName%\AppData\Local\Temp\a.php (Nemucod Ransomware, PHP 코드)
    - C:\Users\%UserName%\AppData\Local\Temp\a1.exe (Locky Ransomware)
    - C:\Users\%UserName%\AppData\Local\Temp\a2.exe (PowerShell 기반 악성코드)
    - C:\Users\%UserName%\AppData\Local\Temp\php4ts.dll (정상 파일, PHP Script Interpreter)

• Payment Instruction File : DesktopOSIRIS.htm / OSIRIS-(Random).htm <Locky Ransomware>, a.txt / DECRYPT.txt <Nemucod Ransomware>

• Major Characteristics : 악성 JS 스크립트 파일 실행을 통해 PHP 기반 Nemucod Ransomware와 Locky Ransomware가 다운로드되어 함께 파일 암호화 행위 수행, 바탕 화면 배경(C:\Users\%UserName%\DesktopOSIRIS.bmp) 변경