본문 바로가기

Security_News/해외보안소식

한국 타켓, 신종 랜섬웨어 마이랜섬(Magniber) 등장

728x90



개요

 

TrendMicro의 보안연구원에 따르면, Magnitude EK*가 한국대상으로 제작된 마이랜섬(magniber) 유포에 사용되었다고 발표

* Magnitude EK(Exploit Kit) : 2013년 초반부터 전 세계 대상 사이버 범죄에 사용되었으며, 광고플랫폼 공격에 자주 이용됨

 

  

주요내용

 

(유포 방법) 매그니튜드 EK를 이용하여 클라이언트 IP 주소 및 시스템 언어의 위치 정보를 사용하여 악성링크가 삽입된 광고페이지를 노출

- 피해 시스템 설치된 운영체제 환경이 한국어의 문자열(0x0412)와 일치할 경우 동작하도록 제작

(주요 특징) 마이랜섬(Magniber) 랜섬웨어는 워너크라이 랜섬웨어와 같이 내부 전파 기능은 존재하지 않으며 악성 광고페이지 노출처럼 다운로드 방식으로 감염 유도

• ‘.kgpvwnr, .ihsdj’로 파일 확장자를 변경

• 바탕화면 폴더를 포함한 모든 폴더에 랜섬노트 파일 생성

- ‘READ_ME_FOR_DECRYPTOR_[ID].txt’, ‘_HOW_TO_DECRYPT_MY_FILES_[ID]_.txt’

• 악성코드 실행파일의 용량을 80MB 크기로 제작·유포하여 백신탐지 우회

• 멀버타이징(Malvertising)* 방식으로 유포 (취약한 홈페이지에 접근하는 것만으로 감염)

* 온라인 광고를 통해 악성코드를 유포하는 방법  

 

감염시 15분마다 지속적으로 암호화를 시도하므로 백업 등의 조치를 위해서는 랜섬웨어가 등록한 스케줄러 우선 삭제

<그림1. 랜섬웨어 감염시 스케줄러 삭제 방법>

랜섬웨어 감염시 스케줄러 삭제 방법

아래와 같이 URL주소(Tor)를 명시하여 가상화폐(2Bitcoin)를 지불 유도 랜섬노트 파일 생성

<그림2. 마이랜섬 감염시 랜섬노트>

마이랜섬 감염시 랜섬노트

시사점

 

국내 사용자들을 타깃으로 유포되고 있어 랜섬웨어 감염 피해 예방을 위한 주의 필요

- 한국인터넷진흥원 보호나라 홈페이지를 통해 ‘마이랜섬’ 피해 예방 보안 공지 게재




[출처]

1 http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/

2. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26761

728x90