영상

다양한 랜섬웨어에 대응하는 앱체크의 사전 방어, 자동 복구 및 실시간 백업 기능을 영상을 통해 확인하실 수 있습니다.

바로 가기(.lnk) 방식으로 전파되는 Spora Ransomware

AppCheck 안티랜섬웨어 제품이 파일을 파일명/확장명 변경없이 암호화 후 최상위 폴더를 숨김(H) 속성 폴더로 변경한 후 동일 이름을 가진 바로 가기(.lnk)를 생성하여 재감염을 유발하는 Spora Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

  • Distribution Method : 메일 첨부 파일(.hta)

 

  • MD5 : 37477dec05d8ae50aa5204559c81bde3

 

  • Major Detection Name : Ransom.Spora (Norton), Ransom_SPORA.A (Trend Micro)

 

  • Encrypted File Pattern : 원본 파일 유지

 

  • Malicious File Creation Location :

    - C:\(Random)-(Random)-(Random)-(Random)-(Random).exe (숨김(H) + 읽기(R) 전용 파일 속성)
    - C:\Users\%UserName%\AppData\Local\Temp\(Random)-(Random)-(Random)-(Random)-(Random).exe
    - C:\Users\%UserName%\AppData\Local\Temp\(Random).exe
    - C:\Users\%UserName%\AppData\Local\Temp\doc_6d518e.docx
    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\(Random)-(Random)-(Random)-(Random)-(Random).HTML
    - C:\Users\%UserName%\Desktop\(Random)-(Random)-(Random)-(Random)-(Random).exe (숨김(H) + 읽기(R) 전용 파일 속성)
    - \\(Random)-(Random)-(Random)-(Random)-(Random).exe (숨김(H) + 읽기(R) 전용 파일 속성)
    - \\(Random)-(Random)-(Random)-(Random)-(Random).HTML
    - \\(Random)-(Random)-(Random)-(Random)-(Random).KEY
    - \\(Random)-(Random)-(Random)-(Random)-(Random).LST

 

  • Payment Instruction File : (Random)-(Random)-(Random)-(Random)-(Random).HTML

 

  • Major Characteristics: 오프라인 암호화(Offline Encryption), 가짜 MS Word 문서(doc_6d518e.docx) 실행으로 사용자 눈속임, 러시아어(Russian) / 영어(English) 사용자 표적, 최상위 폴더 전체를 숨김(H) 속성 폴더로 변경 후 동일 이름의 바로 가기(.lnk) 파일 생성을 통해 재감염 유도, 다양한 옵션의 복구 방식에 따른 비용 지불 안내

 

목록

위로