AppCheck 안티랜섬웨어 제품이 파일을 .(8-Digit Random Extension) 형태로 암호화 후 MBR 변조까지 수행하는 GoldenEye Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

참고로 파일 암호화 이후 MBR 변조를 통한 Windows 부팅 시 Ransomware 결제 안내 메시지를 표시하는 행위 역시 AppCheck 안티랜섬웨어 정품 버전에서는 차단할 수 있습니다.

• Distribution Method : 메일 첨부 파일

• MD5 : e068ee33b5e9cb317c1af7cecc1bacb5

• Major Detection Name : Trojan.Ransom.GoldenEye (ALYac), Trojan:Win32/Petya!rfn (Microsoft)

• Encrypted File Pattern : .(8-Digit Random Extension)

• Malicious File Creation Location: : C:\Users\%UserName%\AppData\Roaming\{GUID}\(Random).exe (Random, Random Hash값)

• Payment Instruction File : YOUR_FILES_ARE_ENCRYPTED.TXT

• Major Characteristics : 오프라인 암호화(Offline Encryption), Mischa / Petya Ransomware 계열, 파일 암호화 완료 후 MBR 변조를 통한 부팅 시 Ransomware 메시지 생성, 파일 암호화 후 오류 메시지(StopCode) 생성 후 재부팅, 부팅 시 가짜 파일 시스템 검사(CHKDSK) 화면 생성

• Reference : https://blog.malwarebytes.com/threat-analysis/2016/12/goldeneye-ransomware-the-petyamischa-combo-rebranded