본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

Mallox 랜섬웨어 주의!

보안공지 2021-12-09


 

Mallox 랜섬웨어가 유표중에 있어 사용자들의 주의가 필요합니다. 

Mallox 랜섬웨어는 드롭퍼 형식을 띄고 있으며, 내부에서 지속적으로 파일을 해제하여 드랍하는 특징을 갖고 있으며, 여러번의 dll드랍을 통하여 최종적으로 Mallox 랜섬웨어 파일을 내려받습니다. 

 

이렇게 수 차례의 dll드랍은 여러가지의 연산을 통해 드랍되는데, 이는 분석가들의 분석을 어렵게 하기 위한 목적입니다. 

최초 랜섬웨어 유포 파일은 .exe 형태로 유포되며, 해당 exe파일이사용자 PC에서 실행이 되면 리소스에서 첫번째 dll을 로드합니다. 

 

 

[그림 1] 최초 exe 에서 로드 되는 첫번째 dll 파일



dll이 로드되면 해당 첫번째 dll에서 2차로 dll을 로드합니다. 

 

 

[그림 2] 첫번째 dll에서 로드되는 두번째 dll파일



2차로 로드된 dll은 또 한번 3번째 dll을 로드하며, 3번째 dll은 최종적으로 공격자가 설정해 둔 서버에 접속하여 Mallox 랜섬웨어를 내려받습니다. 

[그림 3] 최종 dll이 서버에 접속하여 최종적으로 내려받는 Mallox 랜섬웨어

 

Mallox 랜섬웨어가 실행되면, 배치파일을 이용하여 특정 관리자/사용자 계정명 획득을 통하여 암호화 할 수 있도록 다수의 명령어를 실행하며, Microsoft .NET Framework 정상 파일을 통하여 암호화를 진행합니다. 

 

파일 암호화 후에는 확장자를 모두 기존 파일명.mallox로 변경하며, RECOVERY INFORMATION.txt 파일명을 가진 랜섬노트를 띄웁니다.

 

[그림 4] 랜섬노트

 

최근 mallox 랜섬웨어 감염사례가 증가한 만큼, 기업 및 개인 사용자들의 각별한 주의가 필요합니다. 사용하시는 SW를 항상 최신 버전으로 유지하기를 권고드리며, 만일의 상황을 대비하여 주기적인 백업을 통하여 소중한 정보를 보호하시기를 바랍니다.

 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Filecoder로 탐지중에 있습니다.