- MD5 : eaebaa9026e4f0d9c62bf3c23bac7b51
- 주요 탐지명 : DeepScan:Generic.Ransom.JSWORM.C28E5264 (BitDefender), Ransom.JSWorm (Malwarebytes)
- 파일 암호화 패턴 : .[ID-<Random>][doctorSune@protonmail.com].TRUMP
- 악성 파일 생성 위치 :
- C:\ProgramData\Microsoft\svchost.exe
- C:\ProgramData\key.TRUMP
- C:\ProgramData\user_data.TRUMP
- C:\Windows\System32\Tasks\TRUMP
- 결제 안내 파일 : TRUMP-DECRYPT.txt
- 주요 특징 :
- 오프라인 암호화(Offline Encryption)
- TRUMP 작업 스케줄러 등록값을 통해 사용자 로그온 시 랜섬웨어 파일(C:\ProgramData\Microsoft\svchost.exe) 실행
- 특정 프로세스(bes10*, black*, IBM*, mysql*, sql, store.exe 등) 실행 차단
- 특정 서비스(mr2kserv, MSExchangeADTopology, MSSQLServerADHelper100, ReportServer$ISARS, SQLAgent$ISARS, WinDefend 등) 중지
- 시스템 복원 무력화(vssadmin.exe Delete Shadows /All /Quiet, bcdedit /set {default} recoveryenabled No, bcdedit /set {default} bootstatuspolicy ignoreallfailures)
- 이벤트 로그 삭제
목록