영상

다양한 랜섬웨어에 대응하는 앱체크의 사전 방어, 자동 복구 및 실시간 백업 기능을 영상을 통해 확인하실 수 있습니다.

AppCheck Anti-Ransomware 제품이 파일명/확장명 변경없이 파일 암호화를 수행하는 MarsJoke Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

  • Distribution Method : Unknown

 

  • MD5 : 04c4854164019af75187d68cb7ce6ce3

 

  • Major Detection Name : a variant of Win32/Filecoder.NHO (ESET), Ransom/W32.Agent.593920 (nProtect)

 

  • Encrypted File Pattern : 원본 파일 유지

 

  • Malicious File Creation Location :

    - C:\Users\%UserName%\Documents\aimtmano.exe (숨김(H) 속성, Random)
    - C:\Users\%UserName%\Music\prcpcuso.exe (숨김(H) 속성, Random)
    - C:\Users\%UserName%\Videos\cnncxotd.exe (숨김(H) 속성, Random)
    - C:\Users\Public\Documents\sxtqacbx.exe (숨김(H) 속성, Random)
    - C:\Users\Public\Music\cmtbcpag.exe (숨김(H) 속성, Random)
    - C:\Users\Public\Pictures\nbiqyyxy.exe (숨김(H) 속성, Random)
    - C:\Users\Public\Videos\hlqqkmgo.exe (숨김(H) 속성, Random)
    - C:\Windows\Tasks\ajkriebe.job (Random)
    - C:\Windows\Tasks\bumfjssl.job (Random)
    - C:\Windows\Tasks\gyrdogls.job (Random)
    - C:\Windows\Tasks\hwopvrik.job (Random)
    - C:\Windows\Tasks\iaijwmsx.job (Random)
    - C:\Windows\Tasks\itbmsnxx.job (Random)
    - C:\Windows\Tasks\pqcoaibp.job (Random)
    - C:\Windows\Tasks\vcoyfady.job (Random)

 

  • Payment Instruction File : !!! Readme For Decrypt !!!.txt / ReadMeFilesDecrypt!!!.txt

 

  • Major Characteristics : 오프라인 암호화(Offline Encryption), CTB-Locker Ransomware 모방, 라이브러리 폴더에 (Random).exe 파일 다수 생성, 시작 프로그램(Run/RunOnce) 또는 작업 스케줄러 다수 추가, 암호화 과정에서 .a19 또는 .ap19 파일 확장명으로 변경 후 최종적으로 원본 파일 그대로 암호화 완료, 바탕 화면 배경(C:\Users\%UserName%\Documents\[Random].bmp) 변경

 

목록

위로