랜섬웨어 최신 정보를 확인 할 수 있습니다.
MadCat 랜섬웨어는 Windows 환경을 대상으로 동작하는 C# .NET 기반의 파일 암호화형 랜섬웨어입니다. 감염 시 사용자 데이터를 암호화한 후 파일명 뒤에 무작위 4자리 확장자를 추가하며, HACKED.TXT 랜섬노트를 생성하여 피해자에게 복호화 비용 지불을 요구합니다.
| 항목 | 내용 |
|---|---|
| 랜섬웨어 명칭 | MadCat (매드캣) |
| 변경된 확장자 | 파일명.확장자.개별랜덤4자리 |
| 랜섬노트 | HACKED.TXT |
| 공격자 연락처 (노트 기준) | Telegram @WhiteVendor |
| 항목 | 내용 |
|---|---|
| Size | 442.00 KB |
| Type | PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows |
| MD5 | cc7490433d390dc919c20ed4a88155e2 |
| SHA1 | 5cb9e9390015759fa10321f71c5d164f5152da04 |
| SHA256 | cf5705942d02b4585d0ee603e8773d888937e0f4221d38ea9404356a1d906392 |
| SHA512 | 5d1a96f35213895c0a17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV02ac9c12f68915ca954b5d990c8bad54c1efecc9ec0df3662b8b3534a2788e247237310abcc37653f72 |
| CRC32 | 34db9552 |

그림 1. MadCat 감염 후 암호화된 파일
MadCat 랜섬웨어는 C# .NET 기반의 Chaos 계열 랜섬웨어로, 실행 시 섀도우 복사본(Volume Shadow Copy)과 백업 카탈로그(Windows Server Backup Catalog)를 삭제하고, Windows 시스템 복원 기능과 응용 프로그램 오류 알림 기능을 비활성화하여 사용자 데이터의 복구를 어렵게 만듭니다.
또한 Windows 레지스트리의 정책 설정을 변경하여 작업 관리자(Task Manager) 실행을 차단함으로써 사용자의 프로세스 종료 및 대응을 방해합니다. Chaos 계열 랜섬웨어의 일반적인 동작 방식과 같이, 자신의 실행 파일을 %AppData%\Roaming 경로에 복사한 후 해당 위치에서 재실행하며, 시작프로그램(Startup) 폴더에 실행 바로가기(Shortcut)를 생성하여 시스템 재부팅 이후에도 자동으로 실행될 수 있도록 지속성(Persistence)을 확보합니다.

그림 2. Roaming 폴더에 복사된 랜섬웨어

그림 3. 섀도우 복사본 삭제 및 윈도우 복구와 실행 오류 알림 비활성화에 추가적인 작업관리자 비활성화

그림 4. 작업관리자 실행 시 오류와 레지스트리의 윈도우 정책 설정에 추가된 레지스트리 값

그림 5. 시작프로그램 폴더에 추가된 랜섬웨어의 바로가기(URL)

그림 6. 임시 폴더에 생성된 바탕화면 이미지
랜섬웨어 감염이 진행되면 암호화가 진행되고, 랜섬노트가 생성되며, 암호화가 진행된 각각의 파일들은 확장자가 변경되어 사용할 수 없게 됩니다.

그림 7. 랜섬웨어 감염 후 변경된 바탕화면

그림 8. 랜섬노트 화면

그림 9. 랜섬웨어 감염 결과
WhiteDefender는 랜섬웨어의 악성 행위 차단 이전에 암호화가 진행될 파일에 대해서도 실시간으로 자동복원을 지원합니다.

그림 10. WhiteDefender 차단 알림 팝업: Process has been blocked due to malicious activity (MadCat.exe)_1

그림 11. WhiteDefender 차단 알림 팝업: Process has been blocked due to malicious activity (MadCat.exe)_2

그림 12. WhiteDefender Detect Viewer 탐지 로그: Ransomware Behavior‑Detect 탐지 및 Execution Block / Quarantine / Restore 기록

관련있는 기사