Videos

Check out our video library AppCheck defending against newest ransomware, automatic recovery and real-time backup.

AppCheck 안티랜섬웨어 제품이 파일명/확장명 변경없이 파일을 암호화하는 Fadesoft Ransomware 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.
 
  • Distribution Method : Unknown
 
  • MD5 : cb923a4f385ffecb73d5442a05049531
 
  • Major Detection Name : a variant of MSIL/Kryptik.INB (ESET), Ransom_SOFADE.B (Trend Micro)
 
  • Encrypted File Pattern : 원본 파일 유지(No Change)
 
  • Malicious File Creation Location :
        - C:\ProgramData\oongusoft\evtmon.exe
        - C:\Users\%UserName%\AppData\Local\oongusoft\evtmon.exe
        - C:\Users\%UserName%\AppData\Local\Temp\ms-(Random).tmp
 
  • Payment Instruction File : !._FILES_ENCRYPTED_README.txt
 
  • Major Characteristics : Privoxy + Tor 추가 다운로드, Windows 부팅 시 시작 프로그램(Event Manager = "C:\Windows\system32\cmd.exe" /c "C:\Windows\system32\eventvwr.exe") 등록값에 추가하여 이벤트 뷰어 실행, 작업 스케줄러(evtmon) 등록값에 추가하여 10분 단위로 이벤트 뷰어 실행, Microsoft Management Console 실행 시 레지스트리 값 변경을 통해 Ransomware 자동 실행하도록 등록

List

위로