Videos

Check out our video library AppCheck defending against newest ransomware, automatic recovery and real-time backup.

MS Word 문서로 유포되는 Cerber Ransomware(_[Random]_README_.hta/jpg)

AppCheck 안티랜섬웨어 제품이 악성 MS Word 문서(.doc)의 매크로를 실행할 경우 PowerShell 기능을 통해 추가적인 악성 파일(.EXE)이 다운로드 및 실행되어 (Random).(4-Digit Random Extension) 형태로 암호화를 수행하는 Cerber Ransomware 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

  • Distribution Method : 메일 첨부 파일(.doc)

 

  • MD5 : 409305f24ab43b224bdcf681887ef7c5

 

  • Major Detection Name : Trojan/Win32.Cerber.R192363 (AhnLab V3), Ransom:Win32/Cerber (Microsoft)

 

  • Encrypted File Pattern : (Random).(4-Digit Random Extension)

 

  • Malicious File Creation Location: : C:\Users\%UserName%\AppData\Roaming.eXe (파일 암호화 후 자동 삭제)

 

  • Payment Instruction File : _(Random)_README_.hta / _(Random)_README_.jpg

 

  • Major Characteristics : 오프라인 암호화(Offline Encryption), PowerShell 기능을 이용한 파일 다운로드 및 실행, 1.22.15.0 ~ 1.22.15.31 / 1.22.16.0 ~ 1.22.16.31 / 91.239.24.0 ~ 91.239.24.255 / 91.239.25.0 ~ 91.239.25.255 IP 대역과 UDP 통신, 텍스트 음성 변환(TTS) 기능을 이용한 암호화 안내, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\tmp[Random].bmp) 변경

List

위로