Videos

Check out our video library AppCheck defending against newest ransomware, automatic recovery and real-time backup.

CryptXXX Ransomware(.[5-Digit Random Extension])

AppCheck 안티랜섬웨어 제품이 랜덤(Random)한 파일 확장명으로 파일을 암호화하는 CryptXXX Ransomware 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

참고로 해당 CryptXXX Ransomware는 rundll32.exe 시스템 파일을 이용한 Ransomware 행위를 수행하므로 AppCheck 안티랜섬웨어에 의해 차단된 후에는 반드시 백신을 이용한 정밀 검사 또는 사용자가 수동으로 악성 DLL 파일을 찾아 제거해야 합니다.

 

  • Distribution Method : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

 

  • MD5 : c953ecbd0e5043c781184d29cd2366cd

 

  • Major Detection Name: Win-Trojan/CryptXXX.Gen (AhnLab V3), Trojan-Ransom.Win32.CryptXXX.biu (Kaspersky)

 

  • Encrypted File Pattern : .(5-Digit Random Extension) (※ 예시 : .3A8FE / .DB6F4 / .F534C)

 

  • Malicious File Creation Location :

    - C:\ProgramData\@(12-Digit Random).bmp

    - C:\ProgramData\@(12-Digit Random).cfg

    - C:\ProgramData\@(12-Digit Random).html

    - C:\Users\%UserName%\AppData\Local\Temp\(Random).tmp.dll

    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\@(12-Digit Random).lnk

 

  • Payment Instruction File : @(12-Digit Random).bmp / @(12-Digit Random).html / @(12-Digit Random).txt

 

  • Major Characteristics: 오프라인 암호화(Offline Encryption), DLL 파일 + 시스템 프로세스(rundll32.exe) 방식, 파일 암호화 후 Lock Screen 기능을 통한 윈도우 실행 차단, 작업 관리자(Taskmgr.exe) / 명령 프롬프트(cmd.exe) 실행 차단, 바탕 화면 배경(C:\ProgramData\@(12-Digit Random).bmp) 변경

List

위로