AppCheck 안티랜섬웨어가 (Random).(Random).better_call_saul 파일 확장명으로 파일 암호화를 수행하는 행위를 탐지하여 제거 및 일부 훼손된 파일을 자동 복구하는 영상입니다.

• Distribution Method : 메일 첨부 파일 (JS 스크립트 파일)

• MD5 : 5d543cb856073fc4ca3d7839a049d5b5

• Major Detection Name : Trojan/Ransom.Shade (CheckMAL), Ransom_CRYPTOLDESH.B (Trend Micro)

• Encrypted File Pattern : (Random).(Random).better_call_saul

• Malicious File Creation Location: : C:\ProgramData\Windows\csrss.exe (= C:\Users\(로그온 사용자)\AppData\Local\Temp\rad38BB8.tmp) <파일명 랜덤>

• Payment Instruction File : README1.txt / README2.txt / README3.txt / README4.txt / README5.txt / README6.txt / README7.txt / README8.txt / README9.txt / README10.txt

• Major Characteristics : 추가적인 악성 프로그램 설치 (WordPress 계열 웹사이트 로그인 시도)

• Reference : https://securelist.com/analysis/publications/72087/the-shade-encryptor-a-double-threat