- Distribution Method : 웹 사이트 접속 시 취약점(Exploit)을 이용한 자동 감염
- MD5 : 12dfa7ad3585f2c4c92e38eeeac2c1f4
- Major Detection Name : Trojan/Win32.SageCrypt.R196517 (AhnLab V3), Ransom:Win32/Milicry.A (Microsoft)
- Encrypted File Pattern : .sage
- Malicious File Creation Location :
- C:\Users\%UserName%\AppData\Roaming\<Random>.exe
- C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<Random>.lnk
- Payment Instruction File : !HELP_SOS.hta
- Major Characteristics : 오프라인 암호화(Offline Encryption), 파일 암호화 시 .<원본 확장명>... 형태로 암호화 후 .sage 확장명으로 변경, 한국어 결제 안내 메시지 생성, 일정 시간 주기로 텍스트 음성 변환(TTS) 기능을 이용한 암호화 안내, VSS 서비스 삭제 및 시스템 복구 무력화, HKEY_CLASSES_ROOT\mscfile\shell\open\command 레지스트 기본값 수정을 통한 Microsoft Management Console 실행(C:\Windows\System32\mmc.exe) 시 Sage 2.2 Ransomware 실행, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\<Random>.bmp) 변경
List