이벤트
  1. CHUBB 최대 10억보상 배상책임보험가입
  2. 고객 감사 이벤트
  3. 무료 체험존
  4. Azure 반값할인
  5. 산업단지 클라우드 지원 이벤틑 오픈대기
  6. 즉시개통 서버 SALE 60%
  7. Office365이벤트
로고
KOREA SERVER HOSTING
고객만족센터
  • 작업의뢰
  • 견적요청
  • 원격지원
  • 방문예약
ns1.kshosting.co.kr
118.217.181.27
ns2.kshosting.co.kr
219.251.156.130

보안/패치

HOME고객만족센터보안/패치

제목한국 타켓, 신종 랜섬웨어 마이랜섬(Magniber) 등장
작성자강기철 등록일2017-11-02 09:12:34 조회수66 파일첨부

개요
 

  1. TrendMicro의 보안연구원에 따르면, Magnitude EK*가 한국대상으로 제작된 마이랜섬(magniber) 유포에 사용되었다고 발표
    * Magnitude EK(Exploit Kit) : 2013년 초반부터 전 세계 대상 사이버 범죄에 사용되었으며, 광고플랫폼 공격에 자주 이용됨
     


  

주요내용


  • (유포 방법) 매그니튜드 EK를 이용하여 클라이언트 IP 주소 및 시스템 언어의 위치 정보를 사용하여 악성링크가 삽입된 광고페이지를 노출
    - 피해 시스템 설치된 운영체제 환경이 한국어의 문자열(0x0412)와 일치할 경우 동작하도록 제작
  1. (주요 특징) 마이랜섬(Magniber) 랜섬웨어는 워너크라이 랜섬웨어와 같이 내부 전파 기능은 존재하지 않으며 악성 광고페이지 노출처럼 다운로드 방식으로 감염 유도

• ‘.kgpvwnr, .ihsdj’로 파일 확장자를 변경
• 바탕화면 폴더를 포함한 모든 폴더에 랜섬노트 파일 생성
- ‘READ_ME_FOR_DECRYPTOR_[ID].txt’, ‘_HOW_TO_DECRYPT_MY_FILES_[ID]_.txt’
• 악성코드 실행파일의 용량을 80MB 크기로 제작·유포하여 백신탐지 우회
• 멀버타이징(Malvertising)* 방식으로 유포 (취약한 홈페이지에 접근하는 것만으로 감염)
* 온라인 광고를 통해 악성코드를 유포하는 방법

 
  1. 감염시 15분마다 지속적으로 암호화를 시도하므로 백업 등의 조치를 위해서는 랜섬웨어가 등록한 스케줄러 우선 삭제
<그림1. 랜섬웨어 감염시 스케줄러 삭제 방법>
랜섬웨어 감염시 스케줄러 삭제 방법
 
  1. 아래와 같이 URL주소(Tor)를 명시하여 가상화폐(2Bitcoin)를 지불 유도 랜섬노트 파일 생성
<그림2. 마이랜섬 감염시 랜섬노트>
마이랜섬 감염시 랜섬노트



 

시사점


  • 국내 사용자들을 타깃으로 유포되고 있어 랜섬웨어 감염 피해 예방을 위한 주의 필요
    - 한국인터넷진흥원 보호나라 홈페이지를 통해 ‘마이랜섬’ 피해 예방 보안 공지 게재




[출처]
1 http://blog.trendmicro.com/trendlabs-security-intelligence/magnitude-exploit-kit-now-targeting-korea-with-magniber-ransomware/
2. https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=26761

목록