한국어(Korean) 운영 체제에서만 감염되는 Magniber 랜섬웨어 유포 주의 (2017.10.22)

2017년 9월 하순경 1년 6개월 이상 꾸준하게 활동하던 Cerber 랜섬웨어(= CRBR Encryptor 랜섬웨어)의 유포가 중지된 후 잠시나마 평온이 찾아오는 듯 하였습니다.

 

하지만 2017년 10월 14일경부터 새롭게 등장한 Magniber 랜섬웨어(= Kgpvwnr 랜섬웨어, My Decryptor 랜섬웨어)는 기존의 Cerber 랜섬웨어와 매우 유사한 유포 방식을 이용하면서 특히 한국어(Korean) 운영 체제에서만 감염되도록 제작된 표적형 랜섬웨어로 돌아왔습니다.

 

• <체크멀(CheckMAL) 블로그>바탕 화면에 생성되어 실행되는 CRBR Encryptor 랜섬웨어(= Cerber 랜섬웨어) 정보 (2017.9.22)

• <체크멀(CheckMAL) 블로그> Cerber 랜섬웨어와 유사하게 유포되는 Kgpvwnr 랜섬웨어 정보 (2017.10.16)

 

이번에 유포되고 있는 Magniber 랜섬웨어의 대표적인 감염 방식은 최신 보안 패치가 적용되지 않은 Internet Explorer 웹 브라우저 사용자가 웹 사이트 접속 과정에서 VBScript 스크립팅 엔진 메모리 손상 취약점을 통한 원격 코드 실행이 가능한 CVE-2016-0189 취약점을 통해 자동 감염되는 방식으로 진행되고 있습니다.

 

해당 보안 취약점은 이미 2016년 5월 MS 보안 패치를 통해 문제가 수정되었지만, 장기간 보안 업데이트를 하지 않은 Internet Explorer 웹 브라우저 사용자는 Magniber 랜섬웨어 감염에 노출될 수 있습니다.

 

정상적으로 악성 파일이 다운로드될 경우 80MB 이상의 대용량 파일 크기를 가지는 랜덤(Random)한 파일명으로 생성된 랜섬웨어 파일이 바탕 화면이 2~3개 수준으로 생성되어 자동 실행될 수 있습니다.

 

실행된 Magniber 랜섬웨어는 운영 체제의 언어를 체크하여 한국어(ko-KR)가 아닌 경우 자동 삭제되어 파일 암호화 행위가 이루어지지 않으며, 한국어 운영 체제의 경우 다음과 같은 파일 암호화가 진행됩니다.

 

 

• 2017년 10월 14일 : .kgpvwnr + _HOW_TO_DECRYPT_MY_FILES_<Random>_.txt

• 2017년 10월 15일 : .kgpvwnr + READ_ME_FOR_DECRYPT_<Random>_.txt

• 2017년 10월 16일 : .ihsdj + READ_ME_FOR_DECRYPT_<Random>_.txt

• 2017년 10월 17일 : .iupgujqm + READ_ME_FOR_DECRYPT_<Random>_.txt

• 2017년 10월 18일 : .fprgbk + READ_ME_FOR_DECRYPT_<Random>_.txt

• 2017년 10월 19일 : .fprgbk + READ_ME_FOR_DECRYPT.txt

• 2017년 10월 20일 : .vbdrj + READ_ME_FOR_DECRYPT.txt

• 2017년 10월 22일 : .ymdmf + READ_ME_FOR_DECRYPT.txt

• 2017년 10월 24일 : .jdakuzbrk + READ_ME_FOR_DECRYPT.txt

• 2017년 10월 26일 : .lhjjnetmm + READ_ME_FOR_DECRYPT.txt

• 2017년 10월 30일 : .hlgjkir + READ_ME_FOR_DECRYPT.txt

• 2017년 11월 1일 : .skvtb + READ_ME_FOR_DECRYPT.txt

• 2017년 11월 4일 : .yjnowl + READ_ME_FOR_DECRYPT.txt

• 2017년 11월 6일 : .zjgvnwh + READ_ME_FOR_DECRYPT.txt

• 2017년 11월 8일 : .madrcby + READ_ME_FOR_DECRYPT.txt

• 2017년 11월 11일 : .nbxegz + READ_ME_FOR_DECRYPT.txt

• 2017년 11월 13일 : .keaopk + READ_ME_FOR_DECRYPT.txt / .hrpuddxi + READ_ME_FOR_DECRYPT.txt

 

지금까지 유포된 Magniber 랜섬웨어는 암호화된 파일 확장명과 랜섬웨어 메시지 파일을 기준으로 총 8종이 1일 단위로 변경되면서 주말과 상관없이 활발하게 유포되고 있습니다.

 

기본적으로 Magniber 랜섬웨어는 파일 암호화가 완료된 후에는 바탕 화면에 생성된 악성 파일을 "cmd /c ping localhost -n 3 > nul & del C:\Users\%UserName\Desktop\<Random>.EXE" 명령어로 자동 삭제합니다.

 

하지만 이후에도 지속적인 파일 암호화 및 랜섬웨어 메시지 생성 목적으로 다음과 같은 파일을 생성하여 지속적인 피해를 유발시킵니다.

 

생성 파일 등록 정보

C:\Users\%UserName%\AppData\Local\Temp\<암호화된 파일 확장명>.exe :: Magniber 랜섬웨어 실행 파일 C:\Users\%UserName%\AppData\Local\Temp\READ_ME_FOR_DECRYPT.txt :: 랜섬웨어 메시지 파일 C:\Windows\System32\Tasks\<결제 사이트 주소> :: 랜섬웨어 메시지 파일 실행(15분 단위로 자동 실행) C:\Windows\System32\Tasks\<결제 사이트 주소>1 :: 결제 사이트 연결(1시간 단위로 자동 실행) C:\Windows\System32\Tasks\<암호화된 파일 확장명> :: 15분 단위로 자동 실행

 

 

작업 스케줄러에 등록된 <암호화된 파일 확장명>으로 등록된 값을 통해 15분마다 "pcalua.exe -a C:\Users\%UserName%\AppData\Local\Temp\vbdrj.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

 

실제로 임시 폴더(%Temp%)에 존재하는 Magniber 랜섬웨어 파일을 확인해보면 86MB 용량을 가진 <암호화된 파일 확장명>.exe 형태의 파일이 저장되어 있는 것을 알 수 있으며, 해당 파일은 15분마다 자동 실행되어 파일 암호화를 지속적으로 진행할 수 있습니다.

 

 

특히 백신 프로그램이 Magniber 랜섬웨어 악성 파일을 탐지하여 제거하여도 작업 스케줄러에 등록된 자동 실행값을 삭제하지 않는 문제로 15분마다 "'C:\Users\%UserName%\AppData\Local\Temp\vbdrj.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오." 메시지 창이 지속적으로 생성되는 문제가 발생할 수 있습니다.

 

그러므로 위와 같은 메시지 창이 반복적으로 생성될 경우에는 작업 스케줄러에서 등록된 값을 삭제하거나 "C:\Windows\System32\Tasks\<암호화된 파일 확장명>" 파일을 찾아 직접 삭제하시기 바랍니다.

 

 

작업 스케줄러에 등록된 <결제 사이트 주소> 패턴으로 등록된 값을 통해 15분마다 "C:\Users\%UserName%\AppData\Local\Temp\READ_ME_FOR_DECRYPT.txt" 랜섬웨어 메시지 파일을 자동 실행하도록 구성되어 있습니다.

 

 

랜섬웨어 메시지 파일에 표시된 URL 주소 중 도메인이 아닌 맨 앞 부분에 표시되는 동적 서버 주소를 이용하여 작업 스케줄러 등록값을 생성합니다.

 

 

만약 임시 폴더(%Temp%)에 존재하는 랜섬웨어 메시지 파일이 삭제된 경우에도 15분마다 메모장이 실행되어 텍스트 파일(.txt)을 찾을 수 없다는 메시지가 표시됩니다.

 

그러므로 "C:\Users\%UserName%\AppData\Local\Temp\<랜섬웨어 결제 파일명>.txt" 파일 삭제와 함께 작업 스케줄러에서 등록된 값을 삭제하거나 "C:\Windows\System32\Tasks\<결제 사이트 주소>" 파일을 찾아 직접 삭제하시기 바랍니다.

 

 

작업 스케줄러에 등록된 <결제 사이트 주소>1 패턴으로 등록된 값을 통해 1시간마다 "cmd.exe /c start iexplore h**p://04kz***********4160.winehis.online/prelandMRt1Z80Wrk3S96yl" 명령어를 자동 실행하도록 구성되어 있습니다.

 

 

이를 통해 Internet Explorer 웹 브라우저를 통해 "MY DECRYPTOR" 페이지로 자동 연결되어 세부적인 안내를 받도록 유도하고 있습니다.

 

 

연결된 페이지에서는 5일 이내에 비트코인(Bitcoin) 가상 화폐를 전송하도록 안내하고 있으며, 기간이 지날 경우 2배의 가격으로 상승한다고 경고하고 있습니다.

 

만약 자동 실행값을 삭제하지 않을 경우 1시간 단위로 Internet Explorer 웹 브라우저를 통한 접속이 이루어지므로 작업 스케줄러에 등록된 <결제 사이트 주소>1 값을 삭제하거나 "C:\Windows\System32\Tasks\<결제 사이트 주소>1" 파일을 찾아 직접 삭제하시기 바랍니다.

 

 

HKEY_CLASSES_ROOT\mscfile\shell\open\command
 - (기본값) = %SystemRoot%\system32\mmc.exe "%1" %* :: 기본값
 - (기본값) = cmd.exe /c "%SystemRoot%\system32\wbem\wmic shadowcopy delete" :: 변경 후

또한 Magniber 랜섬웨어는 파일 암호화 완료 시점에서 mscfile 실행 기본값을 변경한 후 "pcalua.exe -a eventvwr.exe" 명령어를 실행하여 이벤트 뷰어(eventvwr.exe) 실행을 진행합니다.

 

실행된 이벤트 뷰어는 ""C:\Windows\System32\mmc.exe" "C:\Windows\System32\eventvwr.msc"" 명령어로 실행되며 변경된 mscfile 기본값으로 인하여 시스템 복원을 통한 파일 복구를 방해하도록 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제합니다.

 

Magniber 랜섬웨어는 한국인(Korean)만을 표적으로 감염시키도록 제작된 랜섬웨어(Ransomware)를 최근에 본격적으로 시작하였다는 점에서 그동안 랜섬웨어 감염자들이 복구 업체의 도움을 통해 랜섬웨어 공격자에게 돈을 많이 지불하였기 때문이 아닌가도 의심됩니다.

 

특히 기존의 Cerber 랜섬웨어와 마찬가지로 앞으로도 무료 복구툴은 제작될 가능성이 없다고 봐야하므로 항상 중요 파일은 백업을 해두시기 바라며, 백신 프로그램과 함께 AppCheck 안티랜섬웨어와 같은 전용 랜섬웨어 차단 프로그램을 사용하시기 바랍니다.

 

거의 1일 단위로 암호화된 파일 패턴을 변경할 경우로 정성을 다해 공격을 하고 있다는 점에서 Internet Explorer 웹 브라우저 사용자는 반드시 Windows 업데이트 기능을 통해 최신 보안 패치를 적용하시기 바랍니다.