[랜섬웨어 분석] Mailto 랜섬웨어

정상 프로그램으로 위장한 Mailto Ransomware 분석 보고서

 

 “Mailto” 랜섬웨어는 2019년 8월에 등장하였으며, 최근 해외기업을 대상으로 공격한 사례가 발견되고 있다. 해당 랜섬웨어는 “Netwalker”라는 이름으로도 명명되고 있으며, “Sticky Password”라는 정상 프로그램으로 위장하여 사용자가 랜섬웨어를 실행시키도록 유도하고 있다. 만약 랜섬웨어가 실행된다면 사용자 시스템의 파일들을 암호화한다.

 

이번 보고서에서는 “Mailto” 랜섬웨어의 대해 간략하게 알아보고자 한다. .

[그림 1] 정상 프로그램 위장 

  
 “Mailto” 랜섬웨어 실행 시 [표 1]의 암호화 제외 대상과 비교하여, 조건에 일치하는 사용자의 모든 파일을 암호화한다.

[표 1] 암호화 제외 목록 

 

파일 암호화 동작 후 파일의 확장자를 .mailto[<email>].<ID>으로 변경하고, {ID}-Readme.txt 이름의 랜섬노트를 생성한다.

 

[그림 2] 암호화된 파일 목록 

 

생성된 랜섬노트를 실행하여 사용자에게 감염 사실과 복구 방법을 통보한다.

 

[그림 3] Malito 랜섬노트

마지막으로 정상적인 복구를 방해하기 위해 볼륨 섀도우 복사본을 삭제하고, CMD 명령을 통해 실행된 Mailto 프로세스를 종료한다.

 

[그림 4] 볼륨 섀도우 삭제

 

 이번 보고서에서 알아본 “Mailto” 랜섬웨어는 정상프로그램처럼 위장하여 사용자의 실행을 유도하고 있어 주의가 필요하다. 랜섬웨어의 피해를 최소한으로 예방하기 위해서는 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안되며, 백신제품을 설치하고 꾸준히 업데이트 할 것을 권고한다. 또한 중요한 자료는 별도로 백업해 보관하여야 한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Endpoint Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 5] TACHYON Endpoint Security 5.0 진단 및 치료 화면