1. C:\Windows\directx.exe 생성
2. 1 경로 시작 프로그램 등록
3. 특정 파일 확장자 검색 (mask.php post 전송 후, response 되는 값에서 확인 가능, HTTP 통신 이후에 악의적인 행위 발생 가능성)
4. 조건에 맞는 확장자 확인 시, AES Key 생성 및 암호화
- 암호화 되는 과정 중에 Shadow Volume Copy 삭제하는 행위 진행
- 암호화 이후, YOUR_FILES.url 파일 생성하는 특징
현재까지 확인된 IoC
- %Desktop%\YOUR_FILES.url
- C:\Windows\directx.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\svchost C:\Windows\directx.exe
- HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\svchost C:\Windows\directx.exe
- .rrk 확장자 (nocase)