AppCheck Anti-Ransomware 제품이 파일을 .(4-Digit Random Extension) 형태로 암호화를 수행하는 Deadly Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 메일 첨부 파일 또는 다운로드 링크 방식 추정

• MD5 : e75e5802688be6cca08afa63761fcff3

• Major Detection Name : a variant of MSIL/Filecoder.CS (ESET), Trojan.Win32.Z.Filecoder.54272[h] (ViRobot)

• Encrypted File Pattern : .(4-Digit Random Extension)

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\core32x86.exe
    - C:\Users\%UserName%\AppData\Roaming\SysData\setup.exe
    - C:\Users\%UserName%\Desktop\filesencrypted.html
    - C:\Users\%UserName%\Desktop\logo.png

• Payment Instruction File : ransome.html

• Major Characteristics : 오프라인 암호화(Offline Encryption), 시간 체크를 통해 2017년부터 파일 암호화 수행, MS Word 문서 아이콘 모양의 악성 파일 실행 시 "Failed to unpack files. Error: 0xB9A9SX0" 오류 메시지 생성 후 자동 종료되고 재부팅 시 core32x86.exe 파일 실행을 통한 파일 암호화