마가 랜섬웨어(MAGA Ransomware)란?
랜섬웨어 개요
Maga(마가) 랜섬웨어(Maga Ransomware)란?
랜섬웨어 보안을 위해 연구 개발하고 있는 화이트디펜더에서 분석한 악성코드는 Maga 랜섬웨어 입니다.
MAGA(마가)는 Dharma(달마) 계열의 랜섬웨어로 파일 데이터를 암호화하고 확장자를 변경하여 사용할 수 없도록 변경합니다.
MAGA는 사용자의 "개인 id키 8자리", "이메일 주소", ".MAGA" 확장자를 추가해 파일 데이터의 이름을 바꿉니다. 예를 들어 "download.jpg" 라는 파일은 "download.jpg.id-개인키8자리.[MAGA24@cyberfear.com].MAGA"로 변경되고, "sales.xlsx"는 "sales.xlsx.id-개인키8자리.[MAGA24@cyberfear.com].MAGA"으로 변경됩니다.
이 공격 프로세스가 완료되면 팝업 메시지에 랜섬 노트를 표시하고, 모든 디렉토리에 "MAGA_info.txt" 라는 제목을 가진 랜섬노트가 생성 됩니다.
랜섬웨어 분석 요약
•
랜섬웨어 명칭 : Maga
•
변경된 확장자 : 파일명.확장자.MAGA
•
랜섬노트: MAGA_info.txt
•
바탕화면: 변경됨
•
MD5 : 56d8d0386a2dc75b88ca52ddafbd3430
•
SHA1 : 165b9b0cb19bd4f849f2431b12028c179be57780
•
SHA256 : 9d131d41b278c689424e6713a320e8e410501b17260bdb2a6770d9e407d82df0
MAGA Ransomware 감염시 암호화 된 파일 데이터의 모습
랜섬노트 내용
감염 후 모든 영역에 랜섬노트 “mshta.exe / MAGA_info.txt”가 생성되고, 암호화를 풀기 위한 방법이 제시되어 있습니다.
(pop-up window)
MAGA
YOUR FILES ARE ENCRYPTED
Don't worry, you can return all your files!
If you want to restore them, write to the mail: MAGA24@cyberfear.com YOUR ID -
If you have not answered by mail within 24 hours, write to us by another mail:MAGA24@tuta.io
ATTENTION
MAGA does not recommend contacting agent to help decode the data
MAGA Ransomware 영상으로 보기
안티랜섬웨어 화이트디펜더가 설치되어 있다면 MAGA 랜섬웨어를 차단 대응 할 수 있습니다.
