• Distribution Method : 메일에 포함된 링크를 통한 파일 다운로드(.js 스크립트가 포함된 ZIP 압축 파일 / Macro 기능이 포함된 MS Word 문서)

• MD5 : c59ee1e2dfc5ccbeb0b0db1521bccd15

• Major Detection Name : Trojan-Ransom.Win32.Shade.lfp (Kaspersky), Ransom:Win32/Troldesh.A (Microsoft)

• Encrypted File Pattern : (Random).(Random).no_more_ransom

• Malicious File Creation Location :

    - C:\ProgramData\Csrss\csrss.exe (숨김(H) + 시스템(S) 파일/폴더 속성, = 2F69AF54.exe)
    - C:\ProgramData\Drivers\csrss.exe (숨김(H) + 시스템(S) 파일/폴더 속성, = E65D551B.exe)
    - C:\ProgramData\services\csrss.exe (숨김(H) + 시스템(S) 파일/폴더 속성, = 0D321D0E.exe)
    - C:\ProgramData\Windows\csrss.exe (숨김(H) + 시스템(S) 폴더 속성, 파일 암호화)
    - C:\Users\%UserName%\AppData\Local\Temp\0D321D0E.exe (Random, AhnLab V3 : Malware/Win32.Generic.C1704157)
    - C:\Users\%UserName%\AppData\Local\Temp\2F69AF54.exe (Random, Kaspersky : Trojan.Win32.Agent.nevnwq)
    - C:\Users\%UserName%\AppData\Local\Temp\E65D551B.exe (Random, AhnLab V3 : Trojan/Win32.FakeMS.R134559)

• Payment Instruction File : README1.txt / README2.txt / README3.txt / README4.txt / README5.txt / README6.txt / README7.txt / README8.txt / README9.txt / README10.txt

• Major Characteristics : 러시아어(Russian) / 영어(English) 사용자 표적, 추가적인 악성코드 생성(정보 탈취 + 다양한 웹 서버 관리자 계정 접속 시도), 바탕 화면 배경(C:\Users\%UserName%\AppData\Roaming\[Random].bmp) 변경