ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트
닫기정보보호 관리체계 인증(ISMS)

이전 단계

NEWS

한국 타켓, 신종 랜섬웨어 마이랜섬(Magniber) 등장

2017. 11. 02

개요
 

  1. TrendMicro의 보안연구원에 따르면, Magnitude EK*가 한국대상으로 제작된 마이랜섬(magniber) 유포에 사용되었다고 발표
    * Magnitude EK(Exploit Kit) : 2013년 초반부터 전 세계 대상 사이버 범죄에 사용되었으며, 광고플랫폼 공격에 자주 이용됨
     


  

주요내용


  • (유포 방법) 매그니튜드 EK를 이용하여 클라이언트 IP 주소 및 시스템 언어의 위치 정보를 사용하여 악성링크가 삽입된 광고페이지를 노출
    - 피해 시스템 설치된 운영체제 환경이 한국어의 문자열(0x0412)와 일치할 경우 동작하도록 제작
  1. (주요 특징) 마이랜섬(Magniber) 랜섬웨어는 워너크라이 랜섬웨어와 같이 내부 전파 기능은 존재하지 않으며 악성 광고페이지 노출처럼 다운로드 방식으로 감염 유도

• ‘.kgpvwnr, .ihsdj’로 파일 확장자를 변경
• 바탕화면 폴더를 포함한 모든 폴더에 랜섬노트 파일 생성
- ‘READ_ME_FOR_DECRYPTOR_[ID].txt’, ‘_HOW_TO_DECRYPT_MY_FILES_[ID]_.txt’
• 악성코드 실행파일의 용량을 80MB 크기로 제작·유포하여 백신탐지 우회
• 멀버타이징(Malvertising)* 방식으로 유포 (취약한 홈페이지에 접근하는 것만으로 감염)
* 온라인 광고를 통해 악성코드를 유포하는 방법

 
  1. 감염시 15분마다 지속적으로 암호화를 시도하므로 백업 등의 조치를 위해서는 랜섬웨어가 등록한 스케줄러 우선 삭제
<그림1. 랜섬웨어 감염시 스케줄러 삭제 방법>
랜섬웨어 감염시 스케줄러 삭제 방법
 
  1. 아래와 같이 URL주소(Tor)를 명시하여 가상화폐(2Bitcoin)를 지불 유도 랜섬노트 파일 생성
<그림2. 마이랜섬 감염시 랜섬노트>
마이랜섬 감염시 랜섬노트



 

시사점


  • 국내 사용자들을 타깃으로 유포되고 있어 랜섬웨어 감염 피해 예방을 위한 주의 필요
    - 한국인터넷진흥원 보호나라 홈페이지를 통해 ‘마이랜섬’ 피해 예방 보안 공지 게재




[출처]
1 http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/
2. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26761

이전 글 MS오피스 프로그램의 DDE 기능을 악용하는 악성코드 감염 주의

2017. 11. 02
다음 글 Cisco 제품군 취약점 보안 업데이트 권고

2017. 11. 03

목록

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호

  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기
팝업닫기