AppCheck 안티랜섬웨어 제품이 .cryp1 파일 확장명으로 파일을 암호화하는 CryptXXX Ransomware 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.
- Distribution Method : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염
- MD5 : 84462434e35745e732bc3678c4343236
- Major Detection Name : Trojan/Win32.CryptXXX.R182281 (AhnLab V3), a variant of Win32/Kryptik.EYJZ (ESET)
- Encrypted File Pattern : .cryp1
- Malicious File Creation Location: : 임시 폴더(%Temp%) 내의 임의의 위치 및 랜덤(Random)한 파일명을 가진 DLL 파일 (암호화 후 자동 삭제)
- Payment Instruction File : !8685F973E272.bmp / !8685F973E272.html / !8685F973E272.txt <!(영문+숫자로 구성된 ID) 패턴>
- Major Characteristics : 오프라인 암호화(Offline Encryption), DLL 파일 방식, 파일 암호화 후 12분 경과 후 Lock Screen 기능을 통한 윈도우 차단, 바탕 화면 배경(C:\ProgramData\!8685F973E272.bmp) 변경