본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
한국 타켓, 신종 랜섬웨어 마이랜섬(Magniber) 등장2017.10.31
개요
 
  1. TrendMicro의 보안연구원에 따르면, Magnitude EK*가 한국대상으로 제작된 마이랜섬(magniber) 유포에 사용되었다고 발표
    * Magnitude EK(Exploit Kit) : 2013년 초반부터 전 세계 대상 사이버 범죄에 사용되었으며, 광고플랫폼 공격에 자주 이용됨
     

  

주요내용

 

  • (유포 방법) 매그니튜드 EK를 이용하여 클라이언트 IP 주소 및 시스템 언어의 위치 정보를 사용하여 악성링크가 삽입된 광고페이지를 노출
    - 피해 시스템 설치된 운영체제 환경이 한국어의 문자열(0x0412)와 일치할 경우 동작하도록 제작
  1. (주요 특징) 마이랜섬(Magniber) 랜섬웨어는 워너크라이 랜섬웨어와 같이 내부 전파 기능은 존재하지 않으며 악성 광고페이지 노출처럼 다운로드 방식으로 감염 유도
• ‘.kgpvwnr, .ihsdj’로 파일 확장자를 변경
• 바탕화면 폴더를 포함한 모든 폴더에 랜섬노트 파일 생성
- ‘READ_ME_FOR_DECRYPTOR_[ID].txt’, ‘_HOW_TO_DECRYPT_MY_FILES_[ID]_.txt’
• 악성코드 실행파일의 용량을 80MB 크기로 제작·유포하여 백신탐지 우회
• 멀버타이징(Malvertising)* 방식으로 유포 (취약한 홈페이지에 접근하는 것만으로 감염)
* 온라인 광고를 통해 악성코드를 유포하는 방법
 
 
  1. 감염시 15분마다 지속적으로 암호화를 시도하므로 백업 등의 조치를 위해서는 랜섬웨어가 등록한 스케줄러 우선 삭제
<그림1. 랜섬웨어 감염시 스케줄러 삭제 방법>
랜섬웨어 감염시 스케줄러 삭제 방법
 
  1. 아래와 같이 URL주소(Tor)를 명시하여 가상화폐(2Bitcoin)를 지불 유도 랜섬노트 파일 생성
<그림2. 마이랜섬 감염시 랜섬노트>
마이랜섬 감염시 랜섬노트


 

시사점

 

  • 국내 사용자들을 타깃으로 유포되고 있어 랜섬웨어 감염 피해 예방을 위한 주의 필요
    - 한국인터넷진흥원 보호나라 홈페이지를 통해 ‘마이랜섬’ 피해 예방 보안 공지 게재



[출처]
1 http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/
2. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26761


작성 : 침해사고분석단 분석2팀
키워드 Magniber , 마이랜섬