AppCheck 안티랜섬웨어 제품이 파일명/확장명 변경없이 파일을 암호화하는 Fadesoft Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다. - Distribution Method : Unknown
- MD5 : cb923a4f385ffecb73d5442a05049531
- Major Detection Name : a variant of MSIL/Kryptik.INB (ESET), Ransom_SOFADE.B (Trend Micro)
- Encrypted File Pattern : 원본 파일 유지(No Change)
- Malicious File Creation Location :
- C:\ProgramData\oongusoft\evtmon.exe
- C:\Users\%UserName%\AppData\Local\oongusoft\evtmon.exe
- C:\Users\%UserName%\AppData\Local\Temp\ms-(Random).tmp
- Payment Instruction File : !._FILES_ENCRYPTED_README.txt
- Major Characteristics : Privoxy + Tor 추가 다운로드, Windows 부팅 시 시작 프로그램(Event Manager = "C:\Windows\system32\cmd.exe" /c "C:\Windows\system32\eventvwr.exe") 등록값에 추가하여 이벤트 뷰어 실행, 작업 스케줄러(evtmon) 등록값에 추가하여 10분 단위로 이벤트 뷰어 실행, Microsoft Management Console 실행 시 레지스트리 값 변경을 통해 Ransomware 자동 실행하도록 등록
목록