AppCheck 안티랜섬웨어 제품이 .encrypted 파일 확장명으로 암호화를 수행하는 Fabiansomware Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.
- Distribution Method : 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP) 계정 접근을 통한 감염
- MD5 : bfdee947dde47d3442b89233e455dea3
- Major Detection Name : Trojan-Ransom.Win32.Libra.d (Kaspersky), Ransom_APOCALYPSE.F116HV (Trend Micro)
- Encrypted File Pattern : .encrypted
- Malicious File Creation Location: : C:\Program Files\Windows NT\winlogon.exe (숨김, 시스템 파일 속성)
- Payment Instruction File : (원본 파일명).(원본 확장명).How_to_Decrypt_Your_Files.txt / Leer.txt
- Major Characteristics : 오프라인 암호화(Offline Encryption), Apocalypse Ransomware 계열, 파일 암호화 및 Windows 부팅 시 Lock Screen 화면 생성, 파일 암호화 시 Windows 명령 처리기(cmd.exe) / Windows 탐색기(explorer.exe) / 레지스트리 편집기(regedit.exe) / 작업 관리자(Taskmgr.exe) 등의 프로세스 실행 차단, 복호화 도구 공개(https://decrypter.emsisoft.com/fabiansomware)