ARCrypter 랜섬웨어는 파일을 암호화 하면서 수정한 날짜 형싱을 변경하는 특징이 있습니다
일반적인 랜섬웨어는 파일 암호화 시점의 날자, 시간으로 변경 되거나 특정 날짜, 시간으로 변경 하는데
ARCrypter 랜섬웨어는 수정한 날짜 형식을 바꾸기 위해 레지스트리에 특정 값으로 변경을 합니다
레지스트리의 "HKEY_CURRENT_USER\Control Panel\International\sShortDate" 항목의 값을
"ALL YOUR FILES HAS BEEN ENCRYPTED" 로 변경 합니다
그래서, 파일 암호화 이후에는 아래 그림 처럼 확장자 변경과 함께 날짜 형식도 변경 됩니다
또한, 시스템 상의 날짜, 시간 표시 부분도 아래 그림 처럼 변경 됩니다
추가로
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\EXPLORER" 항목에
NoClose : 절전, 시스템 종료, 다시 시작 메뉴 삭제
NoLogOff : 로그아웃 메뉴 삭제
StartMenuLogOff : 시작 메뉴의 로그아웃 삭제
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\SYSTEM" 항목에
DisableChangePassword : Windows 계정 비밀번호 변경 비활성화
DisableTaskMgr : 작업 관리자 실행 차단
HideFastUserSwitching : 사용자 전환 메뉴 숨기기
NoLogOff : 로그아웃 메뉴 삭제
값을 추가하여 시스템 관련 기능을 제한하는 동작을 합니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
