본문 바로가기

벌새::Analysis

한국어(Korean) 운영 체제에서만 감염되는 Magniber 랜섬웨어 유포 주의 (2017.10.22)

2017년 9월 하순경 1년 6개월 이상 꾸준하게 활동하던 Cerber 랜섬웨어(= CRBR Encryptor 랜섬웨어)의 유포가 중지된 후 잠시나마 평온이 찾아오는 듯 하였습니다.

 

하지만 2017년 10월 14일경부터 새롭게 등장한 Magniber 랜섬웨어(= Kgpvwnr 랜섬웨어, My Decryptor 랜섬웨어)는 기존의 Cerber 랜섬웨어와 매우 유사한 유포 방식을 이용하면서 특히 한국어(Korean) 운영 체제에서만 감염되도록 제작된 표적형 랜섬웨어로 돌아왔습니다.

 

 

이번에 유포되고 있는 Magniber 랜섬웨어의 대표적인 감염 방식은 최신 보안 패치가 적용되지 않은 Internet Explorer 웹 브라우저 사용자가 웹 사이트 접속 과정에서 VBScript 스크립팅 엔진 메모리 손상 취약점을 통한 원격 코드 실행이 가능한 CVE-2016-0189 취약점을 통해 자동 감염되는 방식으로 진행되고 있습니다.

 

해당 보안 취약점은 이미 2016년 5월 MS 보안 패치를 통해 문제가 수정되었지만, 장기간 보안 업데이트를 하지 않은 Internet Explorer 웹 브라우저 사용자는 Magniber 랜섬웨어 감염에 노출될 수 있습니다.

 

정상적으로 악성 파일이 다운로드될 경우 80MB 이상의 대용량 파일 크기를 가지는 랜덤(Random)한 파일명으로 생성된 랜섬웨어 파일이 바탕 화면이 2~3개 수준으로 생성되어 자동 실행될 수 있습니다.

 

실행된 Magniber 랜섬웨어는 운영 체제의 언어를 체크하여 한국어(ko-KR)가 아닌 경우 자동 삭제되어 파일 암호화 행위가 이루어지지 않으며, 한국어 운영 체제의 경우 다음과 같은 파일 암호화가 진행됩니다.

 

 

  • 2017년 10월 14일 : .kgpvwnr + _HOW_TO_DECRYPT_MY_FILES_<Random>_.txt
  • 2017년 10월 15일 : .kgpvwnr + READ_ME_FOR_DECRYPT_<Random>_.txt
  • 2017년 10월 16일 : .ihsdj + READ_ME_FOR_DECRYPT_<Random>_.txt
  • 2017년 10월 17일 : .iupgujqm + READ_ME_FOR_DECRYPT_<Random>_.txt
  • 2017년 10월 18일 : .fprgbk + READ_ME_FOR_DECRYPT_<Random>_.txt
  • 2017년 10월 19일 : .fprgbk + READ_ME_FOR_DECRYPT.txt
  • 2017년 10월 20일 : .vbdrj + READ_ME_FOR_DECRYPT.txt
  • 2017년 10월 22일 : .ymdmf + READ_ME_FOR_DECRYPT.txt
  • 2017년 10월 24일 : .jdakuzbrk + READ_ME_FOR_DECRYPT.txt
  • 2017년 10월 26일 : .lhjjnetmm + READ_ME_FOR_DECRYPT.txt
  • 2017년 10월 30일 : .hlgjkir + READ_ME_FOR_DECRYPT.txt
  • 2017년 11월 1일 : .skvtb + READ_ME_FOR_DECRYPT.txt
  • 2017년 11월 4일 : .yjnowl + READ_ME_FOR_DECRYPT.txt
  • 2017년 11월 6일 : .zjgvnwh + READ_ME_FOR_DECRYPT.txt
  • 2017년 11월 8일 : .madrcby + READ_ME_FOR_DECRYPT.txt
  • 2017년 11월 11일 : .nbxegz + READ_ME_FOR_DECRYPT.txt
  • 2017년 11월 13일 : .keaopk + READ_ME_FOR_DECRYPT.txt / .hrpuddxi + READ_ME_FOR_DECRYPT.txt

 

지금까지 유포된 Magniber 랜섬웨어는 암호화된 파일 확장명과 랜섬웨어 메시지 파일을 기준으로 총 8종이 1일 단위로 변경되면서 주말과 상관없이 활발하게 유포되고 있습니다.

 

기본적으로 Magniber 랜섬웨어는 파일 암호화가 완료된 후에는 바탕 화면에 생성된 악성 파일을 "cmd /c ping localhost -n 3 > nul & del C:\Users\%UserName\Desktop\<Random>.EXE" 명령어로 자동 삭제합니다.

 

하지만 이후에도 지속적인 파일 암호화 및 랜섬웨어 메시지 생성 목적으로 다음과 같은 파일을 생성하여 지속적인 피해를 유발시킵니다.

 

생성 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\Temp\<암호화된 파일 확장명>.exe :: Magniber 랜섬웨어 실행 파일
C:\Users\%UserName%\AppData\Local\Temp\READ_ME_FOR_DECRYPT.txt :: 랜섬웨어 메시지 파일
C:\Windows\System32\Tasks\<결제 사이트 주소> :: 랜섬웨어 메시지 파일 실행(15분 단위로 자동 실행)
C:\Windows\System32\Tasks\<결제 사이트 주소>1 :: 결제 사이트 연결(1시간 단위로 자동 실행)
C:\Windows\System32\Tasks\<암호화된 파일 확장명> :: 15분 단위로 자동 실행

 

 

 

작업 스케줄러에 등록된 <암호화된 파일 확장명>으로 등록된 값을 통해 15분마다 "pcalua.exe -a C:\Users\%UserName%\AppData\Local\Temp\vbdrj.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

 

실제로 임시 폴더(%Temp%)에 존재하는 Magniber 랜섬웨어 파일을 확인해보면 86MB 용량을 가진 <암호화된 파일 확장명>.exe 형태의 파일이 저장되어 있는 것을 알 수 있으며, 해당 파일은 15분마다 자동 실행되어 파일 암호화를 지속적으로 진행할 수 있습니다.

 

 

특히 백신 프로그램이 Magniber 랜섬웨어 악성 파일을 탐지하여 제거하여도 작업 스케줄러에 등록된 자동 실행값을 삭제하지 않는 문제로 15분마다 "'C:\Users\%UserName%\AppData\Local\Temp\vbdrj.exe'을(를) 찾을 수 없습니다. 이름을 올바르게 입력했는지 확인하고 다시 시도하십시오." 메시지 창이 지속적으로 생성되는 문제가 발생할 수 있습니다.

 

그러므로 위와 같은 메시지 창이 반복적으로 생성될 경우에는 작업 스케줄러에서 등록된 값을 삭제하거나 "C:\Windows\System32\Tasks\<암호화된 파일 확장명>" 파일을 찾아 직접 삭제하시기 바랍니다.

 

 

작업 스케줄러에 등록된 <결제 사이트 주소> 패턴으로 등록된 값을 통해 15분마다 "C:\Users\%UserName%\AppData\Local\Temp\READ_ME_FOR_DECRYPT.txt" 랜섬웨어 메시지 파일을 자동 실행하도록 구성되어 있습니다.

 

 

랜섬웨어 메시지 파일에 표시된 URL 주소 중 도메인이 아닌 맨 앞 부분에 표시되는 동적 서버 주소를 이용하여 작업 스케줄러 등록값을 생성합니다.

 

 

만약 임시 폴더(%Temp%)에 존재하는 랜섬웨어 메시지 파일이 삭제된 경우에도 15분마다 메모장이 실행되어 텍스트 파일(.txt)을 찾을 수 없다는 메시지가 표시됩니다.

 

그러므로 "C:\Users\%UserName%\AppData\Local\Temp\<랜섬웨어 결제 파일명>.txt" 파일 삭제와 함께 작업 스케줄러에서 등록된 값을 삭제하거나 "C:\Windows\System32\Tasks\<결제 사이트 주소>" 파일을 찾아 직접 삭제하시기 바랍니다.

 

 

작업 스케줄러에 등록된 <결제 사이트 주소>1 패턴으로 등록된 값을 통해 1시간마다 "cmd.exe /c start iexplore h**p://04kz***********4160.winehis.online/prelandMRt1Z80Wrk3S96yl" 명령어를 자동 실행하도록 구성되어 있습니다.

 

 

이를 통해 Internet Explorer 웹 브라우저를 통해 "MY DECRYPTOR" 페이지로 자동 연결되어 세부적인 안내를 받도록 유도하고 있습니다.

 

 

연결된 페이지에서는 5일 이내에 비트코인(Bitcoin) 가상 화폐를 전송하도록 안내하고 있으며, 기간이 지날 경우 2배의 가격으로 상승한다고 경고하고 있습니다.

 

만약 자동 실행값을 삭제하지 않을 경우 1시간 단위로 Internet Explorer 웹 브라우저를 통한 접속이 이루어지므로 작업 스케줄러에 등록된 <결제 사이트 주소>1 값을 삭제하거나 "C:\Windows\System32\Tasks\<결제 사이트 주소>1" 파일을 찾아 직접 삭제하시기 바랍니다.

 

 

HKEY_CLASSES_ROOT\mscfile\shell\open\command
 - (기본값) = %SystemRoot%\system32\mmc.exe "%1" %* :: 기본값
 - (기본값) = cmd.exe /c "%SystemRoot%\system32\wbem\wmic shadowcopy delete" :: 변경 후

또한 Magniber 랜섬웨어는 파일 암호화 완료 시점에서 mscfile 실행 기본값을 변경한 후 "pcalua.exe -a eventvwr.exe" 명령어를 실행하여 이벤트 뷰어(eventvwr.exe) 실행을 진행합니다.

 

실행된 이벤트 뷰어는 ""C:\Windows\System32\mmc.exe" "C:\Windows\System32\eventvwr.msc"" 명령어로 실행되며 변경된 mscfile 기본값으로 인하여 시스템 복원을 통한 파일 복구를 방해하도록 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제합니다.

 

Magniber 랜섬웨어는 한국인(Korean)만을 표적으로 감염시키도록 제작된 랜섬웨어(Ransomware)를 최근에 본격적으로 시작하였다는 점에서 그동안 랜섬웨어 감염자들이 복구 업체의 도움을 통해 랜섬웨어 공격자에게 돈을 많이 지불하였기 때문이 아닌가도 의심됩니다.

 

특히 기존의 Cerber 랜섬웨어와 마찬가지로 앞으로도 무료 복구툴은 제작될 가능성이 없다고 봐야하므로 항상 중요 파일은 백업을 해두시기 바라며, 백신 프로그램과 함께 AppCheck 안티랜섬웨어와 같은 전용 랜섬웨어 차단 프로그램을 사용하시기 바랍니다.

 

거의 1일 단위로 암호화된 파일 패턴을 변경할 경우로 정성을 다해 공격을 하고 있다는 점에서 Internet Explorer 웹 브라우저 사용자는 반드시 Windows 업데이트 기능을 통해 최신 보안 패치를 적용하시기 바랍니다.

  • 랜섬웨어에서까지 코리아 이즈 개꿀이 되었나보군요...

  • mary 2017.10.22 20:29 댓글주소 수정/삭제 댓글쓰기

    항상 바이러스 관련된 해박한 지식을 나누시는걸 참고하던차에 막상 제가 여쭤보는 상황이 되었네요 ㅠㅠ

    한시간 전에 한글 , doc, 영상 파일들이 확장자 뒤 ymdmf 가 붙어있으면서 실행이 안되고 있네요.
    말씀하신 랜섬웨어의 상황이 맞겠지요? 역시나 하드 두개에 수테라이라 백업이 없어서 돈이라도 지불해야할텐데
    네이버에서 검색해서 작업스케줄러라이브러리에서 15분마다 활성하는 관련항목을 삭제했더니
    돈을 내고싶어도 관련한 그런 메시지도 뜨지 않고 있는 상황입니다 ㅠㅠ
    어떻게 살릴수 있는 방법이 있을까요..업체라도 두드려야 할까요? ;;

    • 이 글에서 언급한 랜섬웨어 변종에 감염된게 확실해 보입니다.

      단지 현재로서는 복구할 수 있는 방법은 돈을 지불하는 방법 외에는 없을 것으로 보입니다.

      단지 돈을 지불한 후 받은 복구툴로 100% 복구가 된다는 보장은 없습니다.

  • 정보 감사합니다 ^^
    한국에서 수익률이 꽤 좋았나봅니다...

  • mary 2017.10.22 20:48 댓글주소 수정/삭제 댓글쓰기

    빠른 답글 감사합니다
    뭐 살다보면 별일이 다있으니 그러려니 하고 돈을 지불하려해도
    어디서 어떻게 지불해라 라는 메시지가 안뜨니 머리가 아프네요 ㅠㅠ
    혹시 어디에 지불하라는 메시지 파일을 찾을수 있는지 아실런지요 ;;

    • 암호화된 파일이 있는 폴더마다 파일이 생성되어 있을겁니다.

      아니면 C:\Users\%UserName%\AppData\Local\Temp\READ_ME_FOR_DECRYPT.txt 파일을 찾아 보시기 바랍니다.

  • mary 2017.10.22 21:04 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    덕분에 사이트를 찾았네요. BTC 0.200 (~ $1161)을 5일내 결재하는
    "스페셜 가격"을 주는군요. 그뒤는 두배이구요
    고맙기도 하네요;;
    이럴때 업체를 경유하거나 직접 컨택해서 금액 조절 딜이 가능한가요?
    몇십만원 정도 되는걸로 알았는데 130만원이 넘는데 쉽지않네요 ㅠㅠ
    치료는 안되는거일테구요;;

  • 미지수 2017.10.23 00:08 댓글주소 수정/삭제 댓글쓰기

    10월21일 오전 블로그에 링크된 해외주소통해 비쥬얼c를 all로 다운받다가 이상한 파일이 생성확인. 서브하드4개모두감염, 문서,동영상,사진,mp3등이 위와같이 암호화되서 잠겨있는걸 확인.결국 감염 한달전으로 윈도우를 복원하고 ,랜섬웨어 복제파일 vbdrj,read me등 찾아 전부없앰. 레지나 기타 남아있는 파일들이 있을지 여러모로 의심스러운데 당장 이상없는것 같아 그냥 사용중에요 랜섬 신종걸리니까 정말 무시무시하게 전체하드파일 감염되었엇어요. 파일 살릴수는 없을거 같은데 포멧해야 할까요??

  • 눈물난당 2017.10.23 10:45 댓글주소 수정/삭제 댓글쓰기

    어제 인터넷 익플 사용하다가
    회사컴이 랜섬웨어에 걸린것 같습니다
    확장자의 뒤에 .ymdmf가 붙게되었는데
    해결방법이 있나요??
    포맷말고는 없는건가요??ㅠ

  • 롤링스 2017.10.23 11:22 댓글주소 수정/삭제 댓글쓰기

    저도 어제(22일) 밤 ymdmf 라는 확장자명이 붙은 이 랜섬웨어에 걸렸는데요 중요파일은 외장하드에 백업이 되어있어어 다행입니다만 현재 감염된 컴퓨터에 외장하드나 usb를 연결했을때 혹시 이 랜섬웨어가 외장하드나 usb에 잠복(?)했다가 다른 컴퓨터로 전염될 수도 있는지요???

  • ㅠㅠ 2017.10.24 14:12 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 지난 주말 새로 구입한 하드디스크에 OS와 드라이버 및 바이러스 스캐너 (AVIRA) 까지만 설치하고
    사용하는 다수의 프로그램 설치와 세팅 등을 우선적으로 진행하기위해 윈도우 업데이트는 나중으로 미뤄둔 상태에서
    OS 하드디스크 및 서브로 물려있는 두개의 하드디스크가 랜섬웨어에 감염되어 십수년간 저장한 자료 대부분이 ymdmf 확장자로
    변경되는 비극을 맞이했습니다. ㅠㅠ

    자료를 살릴 수 있는 방법은 없다고 판단하고 있습니다,

    서브로 물려있던 감염된 두개의 하드디스크를 물리적으로 분리한 상태에서
    OS 전용 하드디스크는 포맷 후 새로 OS를 설치한 상태이구요.
    나머지 두개의 하드디스크 (감염된 파일들이 담겨져있는)를 다시 연결해도 문제가 없을까요?

    덧붙여, 아직 감염되지 않은 파일들을 찾아 다른 이동저장장치에 옮긴 후 감염된 하드디스크는
    포맷을 하려고 하는데요.

    인터넷이 연결되지 않은 상태에서 랜섬웨어 숙주격인 실행파일이 어떤 다른형태로 숨겨져 있다가 다시 나타날 수도 있을까요?

    • 해당 랜섬웨어는 OS가 설치된 드라이브쪽에만 파일 암호화를 하는 악성 파일을 생성하므로, 이미 포맷을 하셨다면 다시 연결해도 문제가 없을 것으로 판단됩니다.

      만약 파일이 존재하고 실행된다면 인터넷 연결과 무관하게 파일 암호화를 진행할 수 있습니다.

  • 이래저래 저번 사건으로 한국이 이제 국제적으로 랜섬웨어 타켓이 되어가는것 같습니다.

  • 감사합니다 2017.10.31 04:03 댓글주소 수정/삭제 댓글쓰기

    와 소름 돋았어요 하도 보름전부터 계속 랜섬웨어가 걸려서 검색하다가 봤습니다. 다 있네요..... 삭제 완료 했네요.
    너무 감사합니다. 일주일동안 포멧을 해도 멀해도 안되더니 해결 됐네요....

    • 도움이 되셨다니 다행입니다. 해당 랜섬웨어는 보안 업데이트를 제대로 하지 않은 PC에서만 감염되므로 반드시 최신 업데이트를 하시기 바랍니다.

  • 한국이 무슨 죄가 있다고 저격글도 아니고 이젠 저격 바이러스인가요 -_-

  • 뭉밍 2017.11.12 20:16 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.. nbxegz 확장자가 붙어서 봤더니... 이런 랜섬웨어였군요,..

    난생처음 당해보네요.. 다들 시간이 지나면서 복구툴이 나온것처럼 이 랜섬웨어도 복구툴이 나오겠죠......?ㅠㅠ

    • 기존의 Cerber 랜섬웨어가 오랫동안 활동하다가 사라졌지만 결국에는 복구툴이 나오지 않았습니다. 개인적으로는 정말 복구가 필요하다면 활동을 종료하기 전에 돈이라도 지불해서 복구하는게 현실적일 수 있습니다.

  • 하하 2017.11.12 23:09 댓글주소 수정/삭제 댓글쓰기

    nbxegz 오늘 감염되었네요..

    부랴부랴 작업관리자에서 nbxegz 프로세서를 찾아서 강제종료시켰는데
    말씀하신대로 15분마다 자꾸 반복되길래 temp 폴더에서 nbxegz.exe 파일을 삭제시킨 뒤 구글링 하다가 여기 오게 되었습니다.

    일단 system32\task 폴더에서 인터넷 사이트로 연결시키는 작업은 찾지 못하였고
    nbxegz.exe 를 직접적으로 15분마다 실행시키는 것으로 보이는 nbxegz 파일만 삭제시켰는데
    일단 더 이상의 추가피해는 없을 것이라고 생각해도 될까요?? ㅠㅠ

  • 하하 2017.11.12 23:36 댓글주소 수정/삭제 댓글쓰기

    현재 감염 이후 2시간 30분 째, 계속해서 모니터링 중인데 더 이상 파일이 변형되거나 이상한 프로세서가 실행되는 모습은 안 보이네요..
    혹시 컴퓨터를 껐다 킨다고 뭐가 새로 실행돼서 다시 nbxegz.exe가 설치되고 그러진 않겠죠...?

    • 이 랜섬웨어 감염 방식이 사용자가 윈도우 보안 업데이트 및 Flash 업데이트를 최신으로 하지 않았기 때문이므로 반드시 보안 업데이트를 최신으로 유지하시기 바랍니다.

  • 베러 2017.11.13 12:45 댓글주소 수정/삭제 댓글쓰기

    혹시 nbxegz.exe 갖고 계신분 있으신가요?
    있으시면 kang_hyeok@naver.com로 보내주세요
    저도 랜섬웨어 걸렸는데 해외 랜섬웨어 복구 툴 개발자에게 문의해보니 실행파일이 필요하다 하네요
    저는 자동적으로 지워진건지 제가 삭제한건지 도통 이 파일을 찾을수가 없어서요

    • james88 2018.04.13 14:49 댓글주소 수정/삭제

      안랩에서 푸는법이 나왔는데 초기 텍스트 파일이 필요한거같네요 혹시 있으신가요
      jaehoonl88@naver.com으로 연락 부탁드립니다

  • 뭉밍 2017.11.14 15:37 댓글주소 수정/삭제 댓글쓰기

    댓글감사합니다 ㅠ
    이게 psd나 xlsx 같은애들은 다 잠겼는데 폴더ㅡ폴더ㅡ 사진 애들은 안잠겼네요.. 그래도 사진은살릴수잇어서 그나마다행입니다. 이참에 컴터 바꾸고 싹 밀어버려야겠어요 ㅎㅎ
    자료가.. 아깝긴하지만 뭐.. 내잘못이다 생각해야겠네요 ㅜㅜ

  • 도와주세용 2017.11.23 04:12 댓글주소 수정/삭제 댓글쓰기

    컴퓨터가 버벅이길래 로그오프하고 바탕화면의 파일이 조금 바껴있어서 강제종료하고 검색 후 이 블로그의 글을 보고 지워야할 것들 지웠습니다.
    아마 중요한 문서파일이 외장하드에 있을텐데.. 지금 랜섬웨어에 걸린 이 PC랑 연결하면 외장하드로 감염 될 우려가 있는지,
    그리고 어차피 노트북을 새로사서 윈도우 설치 USB를 만들어야하는데.. 랜섬웨어 걸린 PC로 윈도우 USB를 만들면 새로운 노트북에 윈도우 설치시 감염우려가 있는지 궁금합니다...

    • 이 글에서 언급한 Magniber 랜섬웨어는 USB에 존재하는 사진, 문서 등의 파일을 암호화할 뿐 USB를 통해 다른 기기로 전파하지는 않습니다.

      특히 C:\Users\%UserName%\AppData\Local\Temp\<암호화된 파일 확장명>.exe 파일을 삭제하셨다면 재동작하지는 않을겁니다.

  • 덕배 2017.12.14 21:23 댓글주소 수정/삭제 댓글쓰기

    포맷해도 안될수가있나요?

  • OWWXNBW 라는 확장자가 붙었습니다. 신종이 계속 나오는 모양.. 2018.02.02 20:45 댓글주소 수정/삭제 댓글쓰기

    OWWXNBW 라는 확장자가 붙었습니다. 신종이 계속 나오는 모양이네요. 정보있으신지요?