AppCheck 안티랜섬웨어가 .crypt 파일 확장명으로 파일을 암호화하는 CryptXXX Ransomware 행위를 탐지 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

• MD5 : 61d7fa1678e85d79d25a98d04d8d441b

• Major Detection Name : Trojan.Win32.U.CryptXXX.356352[h] (Hauri ViRobot), Trojan-Ransom.Win32.Bitman.zjl (Kaspersky)

• Encrypted File Pattern : .crypt

• Malicious File Creation Location: : C:\Users\(로그온 사용자)\AppData\Local\Temp\{A21138D4-B418-4825-B9A9-97DEF76AAEF3}\api-ms-win-system-scksp-l1-1-0.dll (CLSID 폴더명 및 파일명 랜덤, 암호화 후 자동 삭제)

• Payment Instruction File: de_crypt_readme.bmp / de_crypt_readme.html / de_crypt_readme.txt

• Major Characteristics : DLL 파일 방식, 감염 후 62분 경과 시 파일 암호화 수행, 가상 환경 체크, FTP + 비트코인(Bitcoin) + 사용자 계정 정보 탈취 기능 포함, 복호화 도구 공개

• Reference: https://www.proofpoint.com/us/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler