- MD5 : ec517204fbcf7a980d137b116afa946d
- 주요 탐지명 : TR/Ransom.MBRlock.nwhir (Avira), Trojan-Ransom.Win32.Coronavi.a (Kaspersky)
- 파일 암호화 패턴 : coronaVi2022@protonmail.ch___<원본 파일명>.<원본 확장명>
- 악성 파일 생성 위치 :
- C:\Users\%UserName%\AppData\Local\Temp\<Random>.exe
- C:\Users\%UserName%\AppData\Local\Temp\CoronaVirus.txt
- 결제 안내 파일 : CoronaVirus.txt
- 주요 특징 :
- 오프라인 암호화(Offline Encryption)
- 디스크 이름(CoronaVirus) 변경
- MBR 변조 + 파일 암호화 완료 후 Windows 자동 재부팅
- 시스템 복원 무력화(VSSADMIN.EXE Delete Shadows /All /Quiet, wbadmin.exe delete backup -keepVersions:0 -quiet, wbadmin.exe delete systemstatebackup -keepVersions:0 -quiet)
- "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute" 레지스트리 값 수정을 통한 부팅 메시지 생성
목록