영상
다양한 랜섬웨어에 대응하는 앱체크의 사전 방어, 자동 복구 및 실시간 백업 기능을 영상을 통해 확인하실 수 있습니다.
- 배포 방식 : 미확인
- MD5 : 808182340fb1b0b0b301c998e855a7c8
- 주요 탐지명 : Trojan.Ransom.WannaCryptor (ALYac), Ransom.Wannacry (Norton)
- 파일 암호화 패턴 : .WCRYT → .WCRY
- 악성 파일 생성 위치 :
- C:\Users\%UserName%\AppData\Roaming\tor
- \\TaskHost
- \\TaskHost\Data
- \\TaskHost\Data\tor
- \\TaskHost\Tor
- \\TaskHost\Tor\taskhosts.exe
- \\TaskHost\Tor\tor.exe
- \\TaskHost\Tor\tor-gencert.exe
- \\!Please Read Me!.txt
- \\!WannaDecryptor!.exe
- \\!WannaDecryptor!.exe.lnk
- \\00000000.eky
- \\00000000.pky
- \\00000000.res
- \\b.wry
- \\c.wry
- \\m.wry
- \\r.wry
- \\t.wry
- \\u.wry
- 결제 안내 파일 : !Please Read Me!.txt
- 주요 특징 :
- 오프라인 암호화
- 원본 파일은 <숫자>.WCRYT 형태로 임시 폴더(%Temp%) 또는 휴지통(D:\$RECYCLER)으로 이동하여 삭제
- 특정 프로세스 종료 후 파일 암호화(taskkill /f /im MSExchange*, taskkill /f /im sqlserver.exe, taskkill /f /im sqlwriter.exe, taskkill /f /im Microsoft.Exchange.*)
- 시스템 복원 무력화("C:\Windows\SysWOW64\cmd.exe" /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet)
- 바탕 화면 배경(C:\Users\%UserName%\Desktop\!WannaCryptor!.bmp) 변경