1. 개요
ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
당신의 모든 문서, 사진, 데이터베이스 및 기타 중요한 파일들이 암호화되었습니다!
- Magniber 랜섬웨어 감염 시 나타나는 문구.
당신의 모든 문서, 사진, 데이터베이스 및 기타 중요한 파일들이 암호화되었습니다!
- Magniber 랜섬웨어 감염 시 나타나는 문구.
2017년경 등장한 Cerber의 후속 랜섬웨어, 매그니베르(Magniber) 랜섬웨어라고 부르며 2022년에도 감염 사례가 보고되는 랜섬웨어.
오로지 한국어 운영체제 또는 한국 아이피 주소에서만 작동하며 이외 국가 사용자일 경우에는 암호화를 진행하지 않고 자기자신을 삭제하게끔 설계되어 있다. 그리고 해커와 접촉 시 뜨는 시간이 대한민국과 6시간 차이나는 것으로 나오지만 실질적으로 전국토가 같은 시간대를 사용하는 국가는 한반도 이외에 일본과 동티모르 뿐이니 위장해서 적성국 북한이 국내 인터넷 사용자들만 표적으로 공격한다는 합리적 의심이 들기도 한다. 실제로 북한군에선 컴퓨터 관련 수재들을 모아 여러 해커 부대를 운영하고 있다. 특히 hwp 확장자 (한글) 문서에 대해서는 강력한 공격성을 드러내며 파괴한다. 평양학생소년궁전, 릉라도정보센터, 김책공대가 해커들의 산실이라고 언론에 보도되었다.
무엇보다도 2017년 10월 최초 발견 당시에는 1000달러 남짓한 돈을 요구했으나 지금은 널리 알려져 모든 사람이 조심을 하게되었고 보수정권이 컴백하면서 남북관계가 전시상태에 준할만큼 악화되어 공격자가 이를 반영하여 한번 걸리면 최소 300만원 이상을 지불해야 복호화가 가능하다. 이마저도 감염사실을 인지한지 5일이 지나면 비용을 2배로 인상하고 더 시간이 지나면 아예 해커와 연락이 닿지 않아 파일을 영영 복구할 수 없게 된다. 이거 말고도 평양의 사이버 요원들이 인터넷 공간에서 특정인을 사칭해서 표적 인물에 대한 해킹을 시도하거나 한국내 범죄집단과 결탁하여 불법프로그램 제공 및 보이스피싱 (사기)에 가담하여 얻은 수익 일부를 북한에 송금하고 있는것으로 드러났다.
관련하여 DailyNK에 뉴스기사가 여러 차례 올라온적 있으며 실제로 북한 정권은 이를 비대칭 전력으로 중요하게 생각하여 어린 인재들을 모아 육성하고 있다. [1] 군사대치에서 비롯한 사실상의 남북간 사이버전 이라고 보면된다. 업무가 완전마비되는 이유로 할수없이 해커에게 돈을 보내면 사실상 대북송금이 되는것이며 이렇게 얻은 수익금의 일부는 본인들에게 성과금으로 지급되고 이외 금액은 모두 핵미사일 개발 및 김정은의 사치품 구매에 전용되는 것으로 드러났다. & 조선일보 기사에 따르면 2020년 한해만 해도 사치품 구입에 2500만달러 (약 325억원)을 지출했다고 하는데 이것도 과거에 비해선 씀씀이가 많이 떨어진 거라고 한다.
2. 감염 경로
주로 윈도우, IE의 보안 취약점을 통하여 유포된다. 즉, Windows 업데이트를 게을리하거나 Internet Explorer 구버전 등을 사용하는 유저들이 대부분 감염된다는 뜻이다. 윈도우 보안 업데이트를 충실히 설치하고, 크롬 등의 브라우저를 이용하면 감염 가능성을 상당히 낮출 수 있다.유튜브 다운로더 사이트에서 빈번히 감염된다는 보고가 있으므로, 이들 사이트는 되도록 이용하지 않는 것이 안전하다. 그리고 관리자(소유주)가 명확하지 않은 사이트는 방문을 피해야 하며 안티 랜섬웨어 프로그램을 반드시 설치하고 파일을 다른 곳에 저장하는 습관을 들여 스스로가 조심하는 것이 최상의 방법이다. (유료버전 사용시 자동백업 기능이 제공됨) 일반 사용자들에게는 주로 한국과 미국에 바탕을둔 사이트들을 (네이버, 페이스북, 인스타그램, 제주항공, 국내 경찰서 등등) 통해서 악성코드를 유포하며 (주소를 잘못 입력할 경우 해커의 페이지로 자동 연결될 가능성 있음) 사용자가 걸려들면 조건에 부합할시 전술하듯 자동적으로 암호화를 진행시켜 모든 개인적인 파일을 사용하지 못하게 만든다. 위에서 밝혀진 내용 이외에도 어떻게하면 감염이 되는지는 아직 불분명한 편이다. 사이버 요원이 신분을 위장하여 다량의 중요한 자료/데이터가 많을것으로 예상되는 한국 기업인/작가/공공기관 등에 이메일을 통해 관심/호기심을 자극, 접촉하여 첨부파일에 붙은 악성코드를 통해서도 감염되는 사례가 있다. 따라서 신뢰할수 없는 발신자가 보낸 메일은 즉시 삭제하거나 전화를 통해 확인을해야 피해를 막을수 있다.
2023년 1월부터 Hitomi.la에서 접속 시 뜨는 광고 창에 랜섬웨어 설치 코드를 심어 유포되고 있으며, 이를 막기 위해 반드시 애드블럭과 안티랜섬웨어 프로그램을 실행한 뒤에 해당 사이트에 접속해야 한다.
3. 증상
상기 이미지는 매그니베르 랜섬웨어의 복호화 웹사이트이다. 감염되면 토어 브라우저를 이용하여 위 사이트에 접속하도록 유도하며, 비트코인과 같은 암호화폐로 암호화된 파일들의 몸값을 요구한다. 위 버전에서는 굳이 Dash로 요구했지만 얼마지나 곧 사라지고 추적이 불가능한 비트코인 으로만 받고있다. 'readme.txt'라는 텍스트 파일, 즉 랜섬노트가 각 디렉토리마다 1개씩 생성되며, 바탕화면도 암호화되었다는 문구로 바뀐다. 또한 '작업 스케줄러'에 랜섬웨어 본체를 15분마다 자동 생성시키는 트리거를 등록하므로, 추가 피해를 막기 위해서는 작업 스케줄러에 등록된 자동 실행값을 찾아 제거해야 한다.
모든 디렉토리의 주요 파일들이 차츰 암호화 되기 시작하며[2], 계속해서 퍼져나간다. 2022년 10월 기준 공격을 받으면 복호화 비용으로 0.145 BTC (한국돈 약 400만원)을 요구한다.
추가적으로 확인된 증거에 따르면 랜섬노트에 올라온 주소로 들어갔을때 복호화 과정 안내 동영상에 랜섬웨어 개발자가 등록한 문서 내용을 자세히 보면 유독 America ( 미국)하고 Taiwan ( 대만)이 많이 언급되어 있다. 러시아 및 소수의 아프리카국을 제외하면 북한의 유일한 교역국이자 동맹 중국의 최고주적 / 군사대치 중인 국가이다. 그리고 샘플사진에 한장은 서울시 이수역 전경, 또 다른건 대만 타이베이시 101타워를 배경으로 하는걸보아 더욱 그렇다는 의심이 든다.
4. 복호화 방법
- 2018년 4월, 안랩에서 복호화 도구를 공개하였다.
- 2019년 9월, KISA에서 암호 기능을 분석한 보고서를 발표하였다. 구현 예시
5. 변종 출현
버전 2가 등장하면서 기존에 알려진 방법이 막혔다. 버전 2는 Microsoft JScript으로 작성된 악성코드 파일을 납치된 웹사이트에서 배포하는 방식을 사용하였다. 감염시 별도의 파일을 생성하지 않고 정상적인 프로그램의 메모리에 코드 인젝션을 실행한다.기존의 복호화 툴(버전 1)은 암호화된 확장자 별로 파일 암호화에 사용된 비밀 값(IV, AES 암호화 키)가 고정되어 있다는 정보를 이용하여 복호화하였다. 하지만 버전 2부터는 보통 하이브리드 암호화라 불리는 암호화 기법이 적용되어 있다. 버전 2는 파일마다 다른 비밀 값을 랜덤하게 생성하며 파일 암호화에 사용된 비밀값은 공격자의 공개키로 암호화되어 암호화된 파일에 연접해놓았기 때문에 공격자의 개인키가 없으면 복호화가 불가능하다. 즉, 하나의 고정된 비밀 값을 사용했던 버전 1에 비해 버전 2는 파일마다 비밀값을 생성하기 때문에 기존의 복호화 툴로 복호화가 불가능하며 공격을 끝내면 알아서 사라지는 원리라 시스템 운영체제 자체를 파괴하는건 아니다. 따라서 돈을 줘서라도 찾아야되는 매우 중요한 데이터가 아니라면 해커와 협상/접촉 시도는 완전 무의미 하므로 공장초기화 (포맷)을 진행하여 모두 잊어버리는 쪽으로 대응해야 한다.
또한 최근 ransomware/win.magniber.xg20 이 생겼다.
6. 관련 문서
[1]
자세한 내용은 해당링크 참조
https://oceanrose.tistory.com/m/1211
[2]
파일명이나 확장자는 그대로이나 파일 형식 자체가 무작위 알파벳으로 변한다. 바탕화면을 계속 보다보면 하나씩 망가져가는 파일들을 감상할 수 있다...