Magniber
1. 개요
2017년경 등장한 Cerber의 후속 랜섬웨어, 매그니베르(Magniber) 랜섬웨어라고 부르며 2019년 7월 현재까지도 감염 사례가 빈번히 보고되는 랜섬웨어.'''ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!'''
당신의 모든 문서, 사진, 데이터베이스 및 기타 중요한 파일들이 암호화되었습니다!
- Magniber 랜섬웨어 감염 시 나타나는 문구.
오로지 한국어 운영체제에서만 작동하며 외국어로 되어있을 경우 암호화를 진행하지 않고 자기자신을 삭제하게끔 설계되어 있다. 그리고 해커와 접촉 시 뜨는 시간이 대한민국과 동일하게 나오므로 적성국 북한이 국내 인터넷 사용자들만 표적으로 공격한다는 합리적 의심이 들기도 한다. (실제로 북한군에선 컴퓨터 관련 수재들을 모아 여러 해커 부대를 운영하고 있다.) 검증된 정보는 아니지만 2017년 10월에 최초로 발견된 것으로보아 개성공단 폐쇄 손해를 만회하기 위한 행동으로 보이기도 하고 과거에는 1000달러 남짓한 돈을 요구했으나 지금은 널리 알려져 모든사람이 조심을 하게되어 감염자 수가 적다 보니 한번 걸리면 거의 300만원 정도를 지불해야 복호화가 가능하며 이마저도 감염사실을 인지한지 5일이 지나면 비용을 2배로 인상하고 더 시간이 지나면 아예 해커와 연락이 닿지 않아 파일을 영영 복구할 수 없게 된다.
2. 감염 경로
주로 윈도우, IE의 보안 취약점을 통하여 유포된다. 즉, 윈도우 업데이트를 게을리하거나 인터넷 익스플로러 구버전 등을 사용하는 유저들이 대부분 감염된다는 뜻이다. 윈도우 보안 업데이트를 충실히 설치하고, 크롬 등의 브라우저를 이용하면 감염 가능성을 상당히 낮출 수 있다.
유튜브 다운로더 사이트에서 빈번히 감염된다는 보고가 있으므로, 이들 사이트는 되도록 이용하지 않는 것이 안전하다. 그리고 관리자(소유주)가 명확하지 않은 사이트는 방문을 피해야 하며 Appcheck 프로그램을 반드시 설치하고 파일을 다른 곳에 저장하는 습관을 들여 스스로가 조심하는 것이 최상의 방법이다. (유료버전 사용시 자동백업 기능이 제공됨)
3. 증상
[image]
상기 이미지는 매그니베르 랜섬웨어의 복호화 웹사이트이다. 감염되면 토어 브라우저를 이용하여 위 사이트에 접속하도록 유도하며, 비트코인과 같은 암호화폐로 암호화된 파일들의 몸값을 요구한다.
'readme.txt'라는 텍스트 파일, 즉 랜섬노트가 각 디렉토리마다 1개씩 생성되며, 바탕화면도 암호화되었다는 문구로 바뀐다. 또한 '작업 스케줄러'에 랜섬웨어 본체를 15분마다 자동 생성시키는 트리거를 등록하므로, 추가 피해를 막기 위해서는 작업 스케줄러에 등록된 자동 실행값을 찾아 제거해야 한다.
4. 버전 업그레이드
2018년 4월 안랩에서 복호화 툴을 공개했지만 이어서 버전 2가 등장하면서 막혔다. 버전 2는 비주얼 베이직 스크립트 기반으로 배포되며, 감염시 별도의 파일을 생성하지 않고 정상적인 프로그램의 메모리에 코드 인젝션을 실행한다.
기존의 복호화 툴(버전 1)은 암호화된 확장자 별로 파일 암호화에 사용된 비밀 값(IV, AES 암호화 키)가 고정되어 있다는 정보를 이용하여 복호화하였다. 하지만 버전 2부터는 보통 하이브리드 암호화라 불리는 암호화 기법이 적용되어 있다. 버전 2는 파일마다 다른 비밀 값을 랜덤하게 생성하며 파일 암호화에 사용된 비밀값은 공격자의 공개키로 암호화되어 암호화된 파일에 연접해놓았기 때문에 공격자의 개인키가 없으면 복호화가 불가능하다. 즉, 하나의 고정된 비밀 값을 사용했던 버전 1에 비해 버전 2는 파일마다 비밀값을 생성하기 때문에 기존의 복호화 툴로 복호화가 불가능하다.