AppCheck 안티랜섬웨어 제품이 파일을 .RMCM1 확장명으로 암호화하는 Merry Christmas Ransomware 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.
- Distribution Method : 메일에 포함된 링크를 통한 파일 다운로드(.doc)
- MD5 : 887b35a87fb75e2d889694143e3c9014
- Major Detection Name : Trojan.Ransom.MerryXMas (ALYac), Ransom:Win32/Troldesh (Microsoft)
- Encrypted File Pattern : .RMCM1
- Malicious File Creation Location :
- C:\Users\%UserName%\AppData\Roaming.eXe
- C:\Users\%UserName%\Desktop\YOUR_FILES_ARE_DEAD.HTA
- Payment Instruction File : YOUR_FILES_ARE_DEAD.HTA
- Major Characteristics : 오프라인 암호화(Offline Encryption), 시스템 환경 / 실행 중인 프로세스 / 설치된 프로그램 정보 수집 및 유출, 유효하지 않은 "Zemana Ltd." / "Zemana Bilişim Teknolojileri Sanayi Ticaret Limited Şirketi" 디지털 서명 포함, 파일 암호화 완료 후 로그아웃 자동 진행