- MD5 : 5da3327ff4ddd023f1e8c7791fb98a5a
- 파일 암호화 패턴 : ._NEMTY_<7자리 Random>_
- 악성 파일 생성 위치 :
- C:\Users\%UserName%\AdobeUpdate.exe
- C:\Users\%UserName%\_NEMTY_<7자리 Random>_-DECRYPT.txt
- C:\Windows\System32\Tasks\_NEMTY_<7자리 Random>_
- 결제 안내 파일 : _NEMTY_<7자리 Random>_-DECRYPT.txt
- 주요 특징 :
- IP 체크(api.db-ip.com)
- 특정 프로세스(oracle.exe, outlook.exe, sql.exe, thunderbird.exe, winword.exe, wordpad.exe 등) 실행 차단
- 특정 서비스(AcrSch2Svc, Apache2.4, DbxSvc, MSSQL$SQLEXPRESS, OracleXETNSListener, SQLWriter 등) 중지
- 시스템 복원 무력화(vssadmin.exe delete shadows /all /quiet, bcdedit /set {default} bootstatuspolicy ignoreallfailures, bcdedit /set {default} recoveryenabled no, wbadmin delete catalog -quiet, wmic shadowcopy delete)
목록