AppCheck 안티랜섬웨어 제품이 파일을 "원본 파일 유지 / (Random).TheTrumpLockerf / (Random).TheTrumpLockerp" 형태로 암호화하는 TrumpLocker Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 메일 첨부 파일(압축 파일)

• MD5 : 032a39846b2d7bad1d32b23e75427adb

• Major Detection Name : Trojan-Ransom.MSIL.Venus.h (Kaspersky), Trojan.Win32.S.TrumpLocker.1000581[h] (ViRobot)

• 변경 파일 확장명

    - 한글 파일명 : 원본 파일 유지 / (Random).TheTrumpLockerf / (Random).TheTrumpLockerp
    - 영문 파일명 : (Random).TheTrumpLockerf / (Random).TheTrumpLockerp

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\Temp\winsx86\ttlrw.exe
    - C:\Users\%UserName%\Desktop\RansomNote.exe

• Payment Instruction File : What happen to my files.txt

• Major Characteristics : VenusLocker Ransomware 계열, 파일 확장명에 따라 .TheTrumpLockerf 확장명으로 변경된 파일은 전체 영역에 대한 파일 암호화, 파일 확장명에 따라 .TheTrumpLockerp 확장명으로 변경된 파일은 파일 헤더 영역(1,024 Bytes)만 파일 암호화, 바탕 화면 배경(C:\Users\%UserName%\bg.jpg) 변경