영상

다양한 랜섬웨어에 대응하는 앱체크의 사전 방어, 자동 복구 및 실시간 백업 기능을 영상을 통해 확인하실 수 있습니다.

GhostCrypt Ransomware(.Z81928819)

AppCheck 안티랜섬웨어 제품이 .Z81928819 파일 확장명으로 암호화 후 Lock Screen 방식으로 윈도우 진입을 방해하는 행위를 수행하는 GhostCrypt Ransomware의 파일 암호화 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

참고로 Windows 부팅 시 Lock Screen 기능을 수행하는 악성 파일 제거는 안전 모드를 통해 직접 제거 또는 백신 프로그램으로 제거하셔야 합니다.

 

  • Distribution Method : Unknown

 

  • MD5 : 501a81a57615bb47aff678ede8b7832b

 

  • Major Detection Name : Ransom.GhostCrypt (Malwarebytes), Ransom:MSIL/Ghocwalcrypt.A (Microsoft)

 

  • Encrypted File Pattern : .Z81928819

 

  • Malicious File Creation Location :

    - C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\adobe_pdf.exe (파일 암호화 기능)

    - C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\DO_NOT_DELETE.txt
    - C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\lock.exe (Lock Screen 기능)
    - C:\Users\(로그온 사용자)\AppData\Local\Temp\7zS24CE.tmp\z.bat
    - C:\Users\(로그온 사용자)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lock.exe (Windows 부팅 시 Lock Screen 기능)

 

  • Payment Instruction File : READ_THIS_FILE.txt

 

목록

위로