AppCheck 안티랜섬웨어 제품이 (메일 주소)___(원본 파일명).(원본 확장명) 파일 형태로 암호화를 수행하는 Satana Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

참고로 테스트 당시에는 MBR 변조 행위를 통해 부팅 과정에서 Ransomware 메시지 생성이 정상적으로 구현되지 않았으며, Ransomware 차단 후 처리 과정에서 일부 암호화된 파일이 자동 제거되지 않는 부분이 존재할 수 있습니다.

• Distribution Method : Unknown

• MD5 : 46bfd4f1d581d7c0121d2b19a005d3df

• Major Detection Name : Trojan.Ransom.Satana (ALYac), TR/MBRLock.eoxv (Avira)

• Encrypted File Pattern : (메일 주소)___(원본 파일명).(원본 확장명)

    - 메일 주소 예시 : banetnatia@mail.com / Khaprov_igor@mail.com / khoperia331@mail.com / lanachka888@mail.com / matusik11@techemail.com / megrela777@mail.com / Missganz@ausi.com / ryanqw31@gmail.com / Sarah_G@ausi.com

• Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\Temp\!satana!.txt
    - C:\Users\%UserName%\AppData\Local\Temp\umdo.exe (파일명 영문 Random)

• Payment Instruction File : !satana!.txt

• Major Characteristics : 오프라인 암호화(Offline Encryption), Petya / Mischa Ransomware 변종, "파일 암호화 + MBR 변조" 방식, 파일 암호화 후 2분 경과 시 자동 재부팅, 부팅 단계에서 랜섬 메시지를 생성하지 못하는 버그(Bug) 존재

• Reference : https://blog.malwarebytes.com/threat-analysis/2016/06/satana-ransomware