HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

한국어 시스템만 공격하는 마이랜섬(MyRansom) 유포 주의
등록일 :
2017.10.24

□ 개요

최근 한국어 시스템만 집중 공격하는 매그니베르(Magniber) 랜섬웨어가 유포된 사실이 알려졌다. 해당 랜섬웨어는 매그니튜드(Magnitude)와 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)을 통해 유포되는 신종 랜섬웨어이다. 또 다른 이름으로는 마이랜섬(MyRansom)이라고도 불린다. 금번에 발견된 랜섬웨어는 국내 사용자들을 타깃으로 하는 만큼 각별한 주의가 요구된다.

 

□ 내용

최근에 한국어 시스템만을 집중 공격하는 매그니베르(Magniber) 랜섬웨어가 유포된 사실이 알려졌다. 해당 랜섬웨어는 매그니튜드(Magnitude) 랜섬웨어와 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로잇 킷을 통해 유포되었다. 이 랜섬웨어를 최초로 발견한 한 사이버보안 연구센터는 해당 랜섬웨어를 '마이랜섬(MyRansom)'이라고 명명하였다. 해당 랜섬웨어는 매그니튜드 익스플로잇 킷을 통해 광고 사이트에 악성코드를 심어 유포하는 멀버타이징 방식으로 유포된 것으로 확인되었다.

 

[그림 1]은 파일 암호화를 진행하기 전에 시스템의 언어가 한국어인지 확인하는 코드이다.


 

[그림 1] 시스템 언어 환경을 확인하는 코드

 

마이랜섬 랜섬웨어는 파일 확장자를 '.kgpvwnr', '.ihsdj' 등으로 암호화를 수행한다. 특히 암호화 파일 중에는 확장자 '.hwp'도 포함되어있다.

 

 

[그림 2] 파일 암호화

 

공격자는 작업 스케줄러에 마이랜섬 실행 파일과 랜섬노트를 등록하여 15분마다 실행을 반복하도록 설정하였다



[그림 3] 작업 스케줄러 등록

 

해당 랜섬웨어는 케르베르의 변종인 케르베르 인크립터(CRBR Encryptor)와 유사한 특성을 많이 보였다. 유포 방식을 포함하여 감염 사실을 알리는 랜섬노트와 몸값을 요구하는 Decryptor가 매우 유사한 것으로 확인되었다.


 

[그림 4] 케르베르와 마이랜섬 랜섬노트 비교

 

해당 다크넷 주소로 접속할 경우 비트코인 결제를 유도한다.

 

 

[그림 5] My Decryptor


금번에 발견된 랜섬웨어는 한국어 시스템만을 공격하는 신종 랜섬웨어로 매그니튜드 익스플로잇킷을 통해 유포되었다. 해당 랜섬웨어는 케르베르 뒤를 이어 지속적으로 유포될 것으로 예측된다. 따라서 사용자 스스로 중요 문서에 대한 백업을 하는 등 국내 사용자들의 각별한 주의가 요구된다.

 

 

바이로봇 업데이트 내역

대표진단명​ Trojan.Win32.MyRansom 

 

※ 랜섬웨어 감염 예방방법 :http://www.hauri.co.kr/Ransomware/prevention.html 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top