2024-03-29 18:10 (금)
Mallox 랜섬웨어 감염사례 증가…"SW 최신 버전 및 백업 중요"
상태바
Mallox 랜섬웨어 감염사례 증가…"SW 최신 버전 및 백업 중요"
  • 길민권 기자
  • 승인 2021.12.03 14:36
이 기사를 공유합니다

수 차례 dll드랍 거쳐 랜섬웨어 유포...분석 어렵게 하기 위한 수법
Mallox 랜섬웨어 랜섬노트. (출처=이스트시큐리티)
Mallox 랜섬웨어 랜섬노트. (출처=이스트시큐리티)

Mallox 랜섬웨어가 유표중에 있어 사용자들의 각별한 주의가 요구된다.

Mallox 랜섬웨어는 드롭퍼 형식을 띄고 있으며, 내부에서 지속적으로 파일을 해제해 드랍하는 특징을 갖고 있다. 여러번의 dll드랍을 통하여 최종적으로 Mallox 랜섬웨어 파일을 내려받는다.

이렇게 수 차례 dll드랍은 여러가지의 연산을 통해 드랍되는데, 이는 분석가들의 분석을 어렵게 하기 위한 목적이다.

최초 랜섬웨어 유포 파일은 .exe 형태로 유포되며, 해당 exe파일이 사용자 PC에서 실행이 되면 리소스에서 첫번째 dll을 로드한다. dll이 로드되면 해당 첫번째 dll에서 2차로 dll을 로드한다.

2차로 로드된 dll은 또 한번 3번째 dll을 로드하며, 3번째 dll은 최종적으로 공격자가 설정해 둔 서버에 접속해 Mallox 랜섬웨어를 내려받는다.

Mallox 랜섬웨어가 실행되면, 배치파일을 이용해 특정 관리자·사용자 계정명 획득을 통해 암호화 할 수 있도록 다수의 명령어를 실행하며, Microsoft .NET Framework 정상 파일을 통해 암호화를 진행한다.

파일 암호화 후에는 확장자를 모두 기존 파일명.mallox로 변경하며, RECOVERY INFORMATION.txt 파일명을 가진 랜섬노트를 띄운다.

이스트시큐리티 ESRC(시큐리티 대응센터)는 “최근 mallox 랜섬웨어 감염사례가 증가하고 있는 만큼, 기업 및 개인 사용자들의 각별한 주의가 필요하다”며 “사용하는 소프트웨어를 항상 최신 버전으로 유지하고 만일의 상황을 대비해 주기적인 백업을 하길 권고한다”고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★