영상
다양한 랜섬웨어에 대응하는 앱체크의 사전 방어, 자동 복구 및 실시간 백업 기능을 영상을 통해 확인하실 수 있습니다.
- 배포 방식 : 미확인
- MD5 : 0e0b9f6050496c876ff199e8583d7b87
- 주요 탐지명 : Downloader/Win.Agent.C5219811 (AhnLab V3), Trojan-Downloader.Win32.Alien.pbg (Kaspersky)
- 파일 암호화 패턴 : .FARGO2
- 악성 파일 생성 위치 :
- C:\Users\%UserName%\AppData\Local\Temp\IXP000.TMP
- C:\Users\%UserName%\AppData\Local\Temp\IXP000.TMP\Avvertire.xls
- C:\Users\%UserName%\AppData\Local\Temp\IXP000.TMP\Come.exe.pif
- C:\Users\%UserName%\AppData\Local\Temp\IXP000.TMP\qqDqlmoWMvo.dll
- 결제 안내 파일 : FILE RECOVERY.txt
- 주요 특징 :
- 오프라인 암호화(Offline Encryption)
- Mallox 랜섬웨어 계열
- "C:\Users\%UserName%\AppData\Local\Temp\IXP000.TMP\Come.exe.pif" 파일을 이용한 암호화
- 특정 파일 확장명(.dbf, .dmp, .hdd, .ibd, .lck, .mdb, .nvram, .oraenv, .rar, .sql, .vdi, .vhd, .vhdx, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmx, .zip)부터 파일 암호화
- 특정 프로세스(fdhost.exe, fdlauncher.exe, mysql.exe, oracle.exe, ReportingServecesService.exe, sqlservr.exe 등) 실행 차단
- 특정 서비스(MSSQLFDLauncher, MSSQLServerOLAPService, ReportServer) 중지
- 특정 서비스(B1Workflow, backup*, MsDtsServer100, MSSQL$SOPHOS, SAP Business One RSP Agent Service, SBOClientAgent 등) 삭제
- 시스템 복원 무력화(bcdedit /set {current} bootstatuspolicy ignoreallfailures, bcdedit /set {current} recoveryenabled no, vssadmin.exe delete shadows /all /quiet)