Gruxer Ransomware (.locked + Damaged JPG Image File) - 영상 - 체크멀

영상

다양한 랜섬웨어에 대응하는 앱체크의 사전 방어, 자동 복구 및 실시간 백업 기능을 영상을 통해 확인하실 수 있습니다.

배포 방식 : 미확인

MD5 : e61d2b77e44fd1047410d36bd57a885f

주요 탐지명 : MSIL:Ransom-J [Trj] (Avast), Troj/HTRansom-B (Sophos)

파일 암호화 패턴 :
- TEARS.EXE : .locked
- WORM.EXE : JPG 파일에 PNG 이미지를 추가하여 덮어쓰기 (파일명/확장명 변경 없음)

악성 파일 생성 위치 :
- C:\Users\%UserName%\AppData\Local\Temp\GRUXER.EXE
- C:\Users\%UserName%\AppData\Local\Temp\TEARS.EXE
- C:\Users\%UserName%\AppData\Local\Temp\WORM.EXE

주요 특징 :
- Hidden-Tear 오픈 소스 기반 랜섬웨어(TEARS.EXE)
- JPG 파일에 PNG 이미지를 추가하여 덮어쓰기(WORM.EXE)
- 바탕 화면 배경(C:\Windows\web\wallpaper\Windows\img0.jpg) 변경