AppCheck 안티랜섬웨어 제품이 .cryp1 파일 확장명으로 파일을 암호화하는 CryptXXX Ransomware 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

• MD5 : 84462434e35745e732bc3678c4343236

• Major Detection Name : Trojan/Win32.CryptXXX.R182281 (AhnLab V3), a variant of Win32/Kryptik.EYJZ (ESET)

• Encrypted File Pattern : .cryp1

• Malicious File Creation Location: : 임시 폴더(%Temp%) 내의 임의의 위치 및 랜덤(Random)한 파일명을 가진 DLL 파일 (암호화 후 자동 삭제)

• Payment Instruction File : !8685F973E272.bmp / !8685F973E272.html / !8685F973E272.txt <!(영문+숫자로 구성된 ID) 패턴>

• Major Characteristics : 오프라인 암호화(Offline Encryption), DLL 파일 방식, 파일 암호화 후 12분 경과 후 Lock Screen 기능을 통한 윈도우 차단, 바탕 화면 배경(C:\ProgramData\!8685F973E272.bmp) 변경

• Reference : http://hummingbird.tistory.com/6376