AppCheck 안티랜섬웨어 제품이 스팸(Spam) 메일 첨부 파일 방식으로 동봉된 Windows 스크립트 파일(.wsf) 실행 시 .zepto 파일 확장명으로 암호화하는 Locky Ransomware 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

• Distribution Method : 메일 첨부 파일(wsf 스크립트)

• MD5 : b46af140f4b4d219a8d177573b18d740

• Major Detection Name : Trojan/Win32.Locky.R184619 (AhnLab V3), Mal/Ransom-EH (Sophos)

• Encrypted File Pattern : .zepto

• Malicious File Creation Location: : C:\Users\%UserName%\AppData\Local\Temp\(Random).exe (파일 암호화 후 자동 삭제)

• Payment Instruction File : _(숫자)_HELP_instructions.html / _HELP_instructions.bmp / _HELP_instructions.html

• Major Characteristics : Locky Ransomware(.locky) 변종, Windows 스크립트 파일(.wsf) 실행 시 XOR 암호화된 파일 다운로드 및 암호 해제 후 파일 암호화 수행, 바탕 화면 배경(C:\Users\%UserName%\Desktop\_HELP_instructions.bmp) 변경

• Reference : http://hummingbird.tistory.com/6415