AppCheck 안티랜섬웨어 제품이 (Random).(Random).da_vinci_code 파일 확장명으로 파일 암호화를 수행하는 Shade Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.
- Distribution Method : 메일 첨부 파일을 통한 추가 다운로드
- MD5 : 79b63a7a524ec8b593c6715483a26948
- Major Detection Name : Ransom:Win32/Troldesh.A (Microsoft), Ransom_CRYPSHED.TA (Trend Micro)
- Encrypted File Pattern : (Random).(Random).da_vinci_code
- Malicious File Creation Location :
- C:\ProgramData\Windows\csrss.exe (숨김(H)/시스템(S) 폴더 속성, 파일 암호화 기능)
- C:\Users\(로그온 사용자)\AppData\Local\Temp\98674B52.exe (스팸 메일 발송 기능)
- Payment Instruction File : README1.txt / README2.txt / README3.txt / README4.txt / README5.txt / README6.txt / README7.txt / README8.txt / README9.txt / README10.txt
- Major Characteristics : Windows 8.1/10 운영 체제 환경에서 파일 암호화 시 "C:\Windows\splwow64.exe" 시스템 파일(Print driver host for applications)을 로딩하여 행위 기반 차단 우회, 바탕 화면 배경(C:\Users\(로그온 사용자)\AppData\Roaming\81D5330481D53304.bmp) 변경, 추가적인 악성 프로그램 설치(스팸 메일 발송)