Videos

Check out our video library AppCheck defending against newest ransomware, automatic recovery and real-time backup.

CryptXXX Ransomware(Random)

AppCheck 안티랜섬웨어 제품이 원본 파일명과 확장명을 랜덤(Random)하게 변경하여 파일 암호화하는 CryptXXX Ransomware 변종 행위를 차단 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

참고로 해당 CryptXXX Ransomware는 악성 DLL 파일을 rundll32.exe 시스템 파일을 이용하여 파일 암호화 행위를 수행하므로 AppCheck 안티랜섬웨어에 의해 차단된 후에는 반드시 백신을 이용한 정밀 검사 또는 사용자가 수동으로 악성 DLL 파일을 찾아 삭제하셔야 합니다.

 

  • Distribution Method : 웹사이트 접속 시 취약점(Exploit)을 이용한 자동 감염

 

  • MD5 : 2525bdb68aeb9710971e75ba1f42b1f2

 

  • Major Detection Name : Luhe.Fiha.A (AVG), Win-Trojan/CryptXXX.Gen (AhnLab V3)

 

  • Encrypted File Pattern : (Random).(5-Digit Random Extension) (※ 예시 : 03437B95AD050A5C21E3B48EAE4AB865.CA728)

 

  • Malicious File Creation Location: : C:\User\%UserName%\AppData\Local\Temp\rad359C6.tmp.dll (파일명 Random)

 

  • Payment Instruction File : !README.BMP / !README.HTML

 

  • Major Characteristics : 오프라인 암호화(Offline Encryption), CryptXXX Ransomware 변종, DLL 파일 + 시스템 프로세스(rundll32.exe) 방식, 파일 암호화 후 13분 경과 시 Lock Screen 기능을 통한 윈도우 실행 차단, 명령 프롬프트(cmd.exe) / 작업 관리자(Taskmgr.exe) 실행 차단, 바탕 화면 배경(C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Network Shortcuts\!README.BMP) 변경

List

위로