Videos

Check out our video library AppCheck defending against newest ransomware, automatic recovery and real-time backup.

MS Word 문서로 유포되는 CrypMic Ransomware(No Change)

AppCheck 안티랜섬웨어 제품이 MS Word 문서의 매크로(Macro) 기능을 통해 CrypMic 악성 파일 다운로드를 통해 원본 파일명과 확장명 변경없이 파일 암호화를 수행하는 CrypMic Ransomware 변종 행위를 차단/제거 및 일부 훼손된 파일을 자동 복원하는 영상입니다.

 

  • Distribution Method : 메일 첨부 파일(MS Word 문서)

 

  • MD5 : 7bb58c27b807d0de43de40178ca30154

 

  • Major Detection Name : W32/Filecoder_CryptProjectXXX.H!tr (Fortinet), Trojan-Ransom.Win32.CryptXXX.bmy (Kaspersky)

 

  • Encrypted File Pattern : 원본 파일 유지

 

  • Malicious File Creation Location :

    - C:\Users\%UserName%\AppData\Local\Temp\943.exe (파일명 숫자 Random)
    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.bmp
    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.html
    - C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\README.txt

 

  • Payment Instruction File : README.bmp / README.html / README.txt

 

  • Major Characteristics : CryptXXX Ransomware 모방, CrypMic Ransomware 변종, "DLL 파일 + 시스템 프로세스" 방식에서 EXE 파일로 변경, 바탕 화면 배경(C:\Users\%UserName%\AppData\Local\Temp\README.BMP) 변경, Microsoft decryptor 구입 유도

 

List

위로