분석 정보/랜섬웨어 분석 정보

[랜섬웨어 분석] MountLocker 랜섬웨어

TACHYON & ISARC 2020. 11. 25. 10:20

MountLocker 랜섬웨어 주의

 

MountLocker” 랜섬웨어는 10월에 Miltenyi Biotec 회사를 대상으로 공격을 수행했던 랜섬웨어로 알려진다. 또한 파일 암호화 이외에도 데이터를 탈취해 특정 사이트에 공개한다고 알려지기 때문에 사용자의 주의가 필요하다.

해당 랜섬웨어는 Windows 폴더를 제외한 2천 개가 넘는 확장자에 대해 파일 암호화를 진행하는데 TurboTax 프로그램에서 사용되는 파일의 확장자(.tax, .tax2009, tax2013, tax2014)가 포함되어있는 특징이 존재한다. 

 

[그림  1] tax  확장자 암호화

 

그리고 암호화된 파일에는 ‘ReadManual.랜덤문자형태로 확장자를 덧붙이며, 시스템 복구를 무력화하기 위해 볼륨 섀도우 복사본을 삭제할 수 있는 아래의 명령어를 실행한다.

 

 

파일 암호화가 완료된 폴더에는 “RecoveryManual.html” 랜섬 노트를 생성하고, 사용자에게 암호화된 파일에 대해 금전을 요구한다.

 

[그림  2]  암호화된 파일

 

[그림  3] “RecoveryManual.html”  랜섬노트

 

분석된 샘플에서는 데이터 탈취 기능이 존재하지 않지만, “MountLocker” 랜섬웨어는 파일 암호화와 함께 데이터를 탈취한다고 알려지기 때문에 주의가 필요하다. 랜섬웨어 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일의 열람을 주의하고 중요한 자료는 별도로 백업해 보관해야 한다. 또한 안티바이러스 제품을 설치하고 최신 버전으로 업데이트할 것을 권고한다.

 

[그림  4] TACHYON Endpoint Security 5.0  진단 및 치료 화면

 

TACHYON Endpoint Security 5.0 제품의 랜섬웨어 차단 기능을 이용하면 사전에 파일 암호화 행위를 차단할 수 있다.

 

[그림  5] TACHYON Endpoint Security 5.0  랜섬웨어 공격 의심 차단 화면