본문 바로가기

벌새::Analysis

긴급 업데이트(Critical Update) 파일로 위장한 Magniber 랜섬웨어 파일(.msi) 주의

반응형

국내에서 가장 광범위하게 피해를 주고 있는 Magniber 랜섬웨어(Ransomware)가 2022년 2월 22일경부터 사이트 접속 중 긴급 업데이트(Critical Update) 파일을 자동 다운로드하여 사용자로 하여금 실행하도록 유도하는 새로운 방식을 도입하였습니다.

 

페이스북(Facebook) 주소 입력 시 오타로 접속된 사이트

대표적인 감염 과정을 살펴보면 유명 사이트 접속을 위해 웹 브라우저 주소창에 URL 주소 입력 과정에서 오타로 다른 사이트에 접속할 때 리다이렉트(Redirect) 방식으로 Magniber 랜섬웨어 악성 파일을 자동 다운로드할 수 있습니다.

 

Magniber 랜섬웨어 악성 파일(.msi) 다운로드 과정

만약 잘못 입력한 사이트의 소스에 특정 사이트로 연결하는 URL 값이 존재할 경우 최소 2단계 이상의 다른 웹 서버를 경유한 후 최종적으로 Critical.Update.Win10.0-kb78532307.msi 파일(SHA-1 : 1ef12c68fa61479c17415ce0d96598037e3e6f47 - AhnLab V3 : Ransomware/Win.Magniber.X2137)을 다운로드 폴더에 자동 다운로드할 수 있습니다.

 

긴급 업데이트 파일로 위장한 Magniber 랜섬웨어 악성 파일 (Critical.Update.Win10.0-kb78532307.msi)

사용자는 다운로드 순간에는 제대로 인지하지 못할 수 있으며, 나중에 다운로드 폴더에 존재하는 Critical.Update.Win10.0-kb78532307.msi 파일을 확인하고 호기심에 실행할 수 있습니다.

 

특히 다운로드된 Windows Installer 패키지 파일(.msi)에는 유효한 "Foresee Consulting Inc." 디지털 서명이 포함되어 있으므로 사용자는 더욱 파일을 신뢰할 수 있습니다.

 

Microsoft Installer 설치 화면

만약 다운로된 .msi 파일을 실행할 경우 화면 상에서는 "Microsoft Installer" 설치 진행창이 생성되어 프로그램이 설치되는 것처럼 보입니다.

Magniber 랜섬웨어 프로세스 구조

하지만 실행한 .msi 파일은 "C:\Windows\System32\MsiExec.exe" 시스템 파일을 통해 동작하여 파일 암호화를 진행하며, 추가적으로 "C:\Users\Public\<Random>.exe" 파일(SHA-1 : f799f2eb35464fb84cf77e2b5587f81fb3c34d6f) - ESET : A Variant Of Win64/Injector.HB)을 생성하여 다음과 같은 명령어를 실행합니다.

cmd /c "start fodhelper.exe"

이를 통해 사용자 계정 컨트롤(UAC) 알림 기능 우회를 통해 다수의 프로세스에 코드 인젝션을 통해 시스템 복원 무력화 코드("C:\Windows\System32\vssadmin.exe" Delete Shadows /all /quiet)를 반복적으로 수행하여 사용자가 파일 복구를 할 수 없도록 합니다.

 

Magniber 랜섬웨어에 의해 암호화된 파일들 (.&lt;7~9자리 영문 소문자 Random 확장명&gt;)

Magniber 랜섬웨어에 의해 암호화된 파일들은 .<7~9자리 영문 소문자 Random 확장명> 형태로 변경되며, README.html 메시지 파일을 생성합니다.

 

README.html 메시지 파일

README.html 메시지 파일에서는 Tor 웹 브라우저를 이용하여 특정 사이트로 접속하도록 안내하고 있습니다.

 

"MY DECRYPTOR" 메인 화면

접속된 "MY DECRYPTOR" 사이트에서는 1개의 파일에 대해서 무료 복구를 지원하고 있으며, 주의할 점은 "Click here for detailed instructions" 버튼을 클릭하여 접속하는 순간부터 정해진 기간이 카운터되기 시작합니다.

 

"MY DECRYPTOR" 세부 정보 제공 화면

해당 화면에서는 5일 이내에 비트코인(Bitcoin)을 지불하지 않을 경우 가격이 2배로 상승한다는 경고 메시지가 포함되어 있습니다.

 

한국어(Korean) 운영 체제에서만 감염되는 Magniber 랜섬웨어 유포 주의 (2017.10.22)

 

오픈캡쳐(OpenCapture) 프로그램 설치 시 Magniber 랜섬웨어 감염 주의 (2020.7.3)

 

네이버 피싱 목적으로 생성되었던 도메인을 통한 Magniber 랜섬웨어 유포 (2020.9.2)

 

뽐뿌 유사 도메인을 이용한 Magniber 랜섬웨어 감염 주의 (2021.7.31)

 

유사한 URL 주소를 이용한 Magniber 랜섬웨어 유포 방식은 이전부터 존재하였으나, 핵심적인 부분은 웹 브라우저 종류에 따라 감염 방식이 다르다는 점입니다.

 

  • Internet Explorer 웹 브라우저 (Windows 7) : IE 웹 브라우저 취약점(Exploit)을 이용한 자동 감염 방식으로 다수의 정상 프로세스에 코드 인젝션을 통한 파일 암호화
  • Internet Explorer 웹 브라우저 (Windows 10 / 최신 보안 패치 미적용) : IE 웹 브라우저 취약점(Exploit)을 이용한 자동 감염 방식으로 "C:\Windows\system32\rundll32.exe" 시스템 파일을 이용한 파일 암호화
[코드 실행 예시]

"c:\windows\system32\rundll32.exe" shell32.dll,control_rundll ".cpl:$.$.$///..///..///appdata///..///appdata///..///appdata///local///..///local///..///local///temp///..///temp///..///temp///low///aionw.inf",
  • Chrome / Microsoft Edge 웹 브라우저 (Windows 10, Windows 11) : 사이트 접속 중 자동 다운로드된 .msi 파일을 사용자가 직접 실행 시 "C:\Windows\System32\MsiExec.exe" 시스템 파일을 이용한 파일 암호화

위와 같은 웹 브라우저와 Windows 보안 업데이트 수준에 따라 Magniber 랜섬웨어는 다양하게 동작이 진행됩니다.

 

그러므로 항상 Windows 업데이트 기능을 통해 제공하는 최신 보안 패치 외에도 사이트 접속 중 자신도 모르게 다운로드된 파일을 함부로 실행하여 피해를 보지 않도록 더욱 조심하시기 바랍니다.

728x90
반응형
  • 이전 댓글 더보기
  • 전설의컴덕 2022.03.14 01:33 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.

    저도 얼마전에 긴급 업데이트 파일로 위장한 Magniber 랜섬웨어에 당했습니다.

    그래서 중요한 파일을 날려버리고 포맷했습니다.

    보안 업데이트 설치에 민감한 저도 속아버린 정말 교묘하게 만들어진 랜섬웨어네요...

    • 네~ 이건 사용자가 최종적으로 직접 실행을 유도하는 방식이라서 사이트 접속 중 다운로드된 파일을 조심해야합니다.ㅠ

  • 지나가던이 2022.03.18 00:51 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    저도 얼마전에 당했네요 ㅠㅠ
    다행히 중요한 파일이 없는 PC라서 피해는 적었지만..

    System.Update.Win10.0-KB숫자.msi
    파일 형태로 다운로드 폴더에 있었는데...
    삭제하려다 실수로 두번 클릭이 되면서..
    아차 싶더라고요.
    그나마 빠르게 작업표시줄에서 강제 종료한게.. 감염의 피해를 그나마 줄일 수 있었네요.

    네이버 백신을 쓰는데.. 안막아진건지 업데이트를 안한건지.. 의아하네요.
    안랩은 잘막힌다고 합니다.
    https://asec.ahnlab.com/ko/22120/

    마지막으로 정리 너무 잘해주셔서 무릎을 치고 갑니다.
    고맙습니다.

    • 운영자아닙니다
      네이버 백신은 랜섬웨어 대응 없기때문에 당연히 차단안됩니다
      물론 알려진 랜섬웨어만 대응하긴합니다
      네이버 백신 쓰신다면 앱체크(체크멀) 설치하시거나 안랩 백신으로 바꾸시는게 권장합니다.
      물론 어떤백신 사용하든 앱체크 설치 권해드립니다.
      그리고 링크쪽 해당 악성아니고 ( https://asec.ahnlab.com/ko/32005 ) 여기입니다.

    • 네이버 백신은 AhnLab V3 DB만을 사용하고 행위 기반 등의 기능은 거의 없어서 사용하시려면 V3 백신을 사용하시기 바랍니다.

  • 당한사람 2022.03.25 01:23 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 오늘 바로 이놈에게 당했는데요. 현재 아차 싶어 컴퓨터를 껐습니다. 근데 이거 다시 부팅하면 자동 실행 되어 남아 있는 파일도 암호화 할까요? 여분의 컴이 없네요. ㅠ.ㅠ

  • 한량 2022.04.10 01:29 댓글주소 수정/삭제 댓글쓰기

    지인 감염되버렸네요;;
    나름 제가 코딩해서 저한테 맡겼는데 이거 100퍼 한국인이 만든거고, 생각보다 단순한 AES128이고 만드는건 1시간 걸리는데 KEY랑 IV모르고 풀면 몇년 걸림.
    원본만 있으면 어떻게 해보겠는데 답이 없네 내가 볼때 님들 확장자 구글에 쳤을때 나오는 회사, 거기 백퍼임

  • 나도봤어용 2022.04.13 17:29 댓글주소 수정/삭제 댓글쓰기

    브라우저에 파일 자동 다운로드 켜 두고 외국 공유 사이트 돌아다니면 광고창 열리면서 내려받기되더라고요 ㅋㅋ

    근대 바이러스 토털에서 악성 판별은 초반 ms디펜더, 알약은 탐지 느리고 의외로 v3가 빨랐죠

  • 지지 2022.05.01 23:01 댓글주소 수정/삭제 댓글쓰기

    저도 사이트 마구마구 들어간적있고 잘못친적있는진 기억안나는데

    다운로드에 어느새인가 이런파일이있더라구요 의심되서 바이러스토탈인가 그거돌려보니 안랩에서 랜섬웨어라뜨더라구요

    꾸준하게 다운로드에 들어있는거같아요 가끔씩

    • 다양한 사이트 접속 과정에서 자동으로 다운로드되고 있습니다.

      오늘은 Win10-11_System_Upgrade_Software.msi 파일명으로 다운로드되고 있습니다.

  • ㅇㅇ 2022.05.07 08:58 댓글주소 수정/삭제 댓글쓰기

    해결방법은 없나요 실수로 더블클릭 해버렸습니다.

  • ㅇㅇ 2022.05.11 00:11 댓글주소 수정/삭제 댓글쓰기

    엄,, 엊그제 저거에 감염되고,, 사이트 들어가보니 저기에는 없는 개인정보 인터넷에 유포한다는 문구가 추가됐는데.. 솔직히 다 중요한 파일은 아니고 사진 있대도 폰 거 백업해놓은 거라,, 그치만 개인정보 유출 저거 되게 신경쓰이네요..
    어떻게 해야될까요?? 지인이랑 찍은 사진들도 있어서,, ㅠㅠ

  • 휴.. 2022.05.12 08:03 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 실수로 더블클릭 하여 설치 하였다가 순간 이상하다는 생각에 설치 도중에 cancel를 클릭하면서 취소 하였는데요.
    파일을 확인해보니 잠긴 파일은 없어보이는데요. 이럴 경우에는 안전한걸까요..?

    • 사용하시는 백신 프로그램을 통해 정밀 검사를 하시기 바랍니다.

      제어판에서 제거 기능으로 다시 실행하도록 제작되어 있기 때문에 숨어있는 파일을 찾아서 제거해야 합니다.

      https://hummingbird.tistory.com/6915

      이 글을 추가로 확인하시기 바랍니다.

    • BlogIcon . 2022.05.18 14:24 댓글주소 수정/삭제

      안녕하세요 선생님. 저와 같은 경우이신 것 같아 댓글 남겨 봅니다ㅠㅠ 혹시 정밀검사 이후에 다른 이상이 발견되었나요? 방금 실수로 더블클릭했다가 cancel 눌러서 취소했는데 원글 작성자님이 말씀하신 내용처럼 Chrome Update나 installer 같은 앱이 다운받아진 흔적은 없고 잠긴 파일도 없어서 가만 있어도 되는건지 걱정되네요... 우선 정밀 검사 돌리고 있긴 한데...ㅠㅠ 혹시 댓글 읽게 되신다면 이후 다른 문제는 발생하지 않으셨는지 알려주신다면 감사하겠습니다

    • 아마 V3 백신은 정밀 검사를 하면 숨어있는 파일을 탐지할겁니다. 그러므로 이상없다면 문제없고 제어판에서도 저 삭제 항목이 없다면 문제없습니다.

  • ㅇㅇ 2022.05.13 09:15 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 작성하신 글 읽고 궁금한게 생겨서 댓글 적습니다.
    본문에 있는 파일명과 비슷하게 security_upgrade_software_win10.0(숫자)과 system.upgrade.win10.0-kb숫자 파일들이 다운로드 폴더에 있습니다. 그런데 본문과는 다르게 파일들 뒤에 .msi가 없어서 이걸 삭제해야할지 아니면 진짜 윈도우 시스템파일이라 놔둬야할지 모르겠습니다. 어떻게 하는게 좋을까요?

    • 동일한 Magniber 랜섬웨어가 맞는 것 같습니다.

      .msi 파일 확장명은 아마도 탐색기 옵션값에 따라 표시가 안될 수도 있어 보입니다.

  • 안녕하세요. 일주일 전에도 댓글 다신 거 같아서 혹시나 싶어 여쭤봅니다. critical.update.win10.0 뭐 이런식으로 된 파일명에 확장자 msi인 파일 다운로드된 적 있는데 척봐도 이상해서 그냥 바로 삭제하고 휴지통 비워버리고 제어판 가서 프로그램 목록에 있나도 확인해봤는데요. 이렇게 실행도 안하고 바로 삭제해버리면 안전할까요?

  • ㅇㅇ 2022.05.24 03:57 댓글주소 수정/삭제 댓글쓰기

    와 방금 당할뻔하다 수상해서 파일 검색해보고 알았습니다..
    혹시 모바일에서도 저 파일이 다운로드 되나요?? 제 경험상 안되는거 같아서요

  • 익명 2022.05.28 21:19 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 네~ 공장초기화를 했다면 문제가 없을겁니다. 백신으로 정밀 검사를 한 번 해보시면 더 좋을 것 같습니다.

  • 익명 2022.06.07 22:04 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 긍정이 2022.06.07 22:07 댓글주소 수정/삭제 댓글쓰기

    파일탐색기에서 드라이브들어가서 README.html 검색했는데 안나오면 괜찮은건가요?

  • 익명 2022.06.08 21:29 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 피해자 2022.06.27 19:05 댓글주소 수정/삭제 댓글쓰기

    방금 파일 수천개 랜섬 걸리고 찾아왔습니다. 저도 네이버 웨일즈 브라우저내에 부주의에 의한 다운로드로 걸렸습니다. 파일명은 "MS.Upgrade.Database.Cloud.msi"였습니다. 모두 조심하세요~!

  • 질문드립니다ㅠ 2022.06.30 10:26 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 선생님!

    오늘 새벽에 vimeo에서 영상 하나 다운 받을려고 9xbuddy라는 다운로트 사이트를 들어가서 다운받을려고 했는데 뻔한 광고를 모르고 눌렀습니다.
    근데 갑자기 10.5mb 파일이 다운되더라구요. (정확히 기억납니다.)
    이름은 MS.Upgrade.Database.Cloud.msi 였습니다.

    뭔지 몰라서 파일 더블클릭 해서 실행하고 10초 후에 바로 끄고 파일명은 복사한 후, shift + delete 키로 삭제해버렸습니다.
    의심 많은 성격대로 바로 파일명을 구글과 네이버에 검색해보니 이 블로그가 나오더라구요ㅠㅠ

    바로 부랴부랴 v3 Lite 깔면서 파일들 다 새로 산 외장하드에 옮겼습니다.
    (만약에 랜섬웨어에 걸렸으면 외장하드 연결은 미친 짓이라는 걸 나중에 알았습니다ㅠㅠ)

    다 옮긴 후, v3 Lite 전체검사 30분 정도 걸리던데 2번 반복해서 했는데 악성코드나 그런거 하나도 안뜹니다.
    그리고 당연히 파일이 잠긴 것도 없습니다.
    파일전체검색기능과 파일탐색기로 README 검색했는데 어떤 파일도 나오지 않습니다.
    혹시 몰라서 나름 중요파일들 백업 후 다 삭제했고 재부팅까지 했는데 잠긴 파일 하나도 없습니다. 물론 README로 시작하는
    웹이나 폴더 문서 하나도 없구요.

    이러면 랜섬웨어에 안 걸린건가요 선생님??
    더 체크하거나 확인해야 할 것이 있을까요??

    일단 안걸린 것 같기는 한데 제가 워낙 이런 컴퓨터 보안부분에 서툴고 잘 몰라서 걱정이 되어서 이렇게 장문의 글까지 남기면서
    여쭤봅니다.

    아침에 긴 질문 글을 드려서 정말 죄송하고, 답 간절히 부탁드리겠습니다.
    정말 감사합니다.

    • 아주 간혹 해당 랜섬웨어 악성 파일이 실행은 정상적으로 진행되었는데 파일 암호화를 하지 못하고 그냥 종료되는 경우가 있는 것 같습니다.

      아주 운이 좋았을 것 같습니다.

  • 피해자0987 2022.07.15 17:50 댓글주소 수정/삭제 댓글쓰기

    크롬에서 외국 포르노 사이트 클릭했다가 광고창뜨면서 자동으로 다운로드되서 클릭은안하고 하루지나서 휴지통으로 삭제했는데 랜섬웨어 안걸린건가요? 휴지통으로 삭제했는데 완벽하게 제거된건가요?

  • 피해자... 2022.07.17 18:47 댓글주소 수정/삭제 댓글쓰기

    당했습니다.. read me 도 떳고 다행이 중요한 파일은 하나도없어서 큰 피해는없는데, 포맷을 하지않으면 앞으로도 계속 손해를 보는건가요? 무조건 포맷만이 답인건지 너무궁금합니다 ㅠㅠ

    • 이미 한번 바이러스가 돌았으면 상관없지만 그래도 찝찝해서 포맷해서 쓰시는게 좋을듯합니ㅏㄷ.

    • 개인적으로 포맷을 하시는데 시스템을 안정적으로 사용하는데 도움이 됩니다.

      랜섬웨어라는게 단순히 파일만 변경하는 것이 아니라 일부 시스템 설정을 변경할 수 있습니다.