꿈을꾸는 파랑새

반응형

오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.

메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.

즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.

해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

그리고 해당 메그니베르 랜섬웨어는 한국어 이외의 시스템에서 실행되는 경우 ping 명령을 실행하여 지연되는 자체 삭제 작업을 볼 수가 있는 것이 특징입니다. 즉 한국인을 노리고 있다는 것을 볼 수가 있습니다. 먼저 해당 랜섬웨어에 감염이 되면 %TEMP%폴더에서 랜섬웨어 자체를 복사하고 작업 스케줄러를 사용하여 자체적으로 배포를 시작하기 시작을 합니다. 그리고 암호화된 각 파일에는 작은 라틴 문자로 구성되며메그니베르 의 특정 샘플에 대해 일정한 확장자가 추가되며 같은 일반 텍스트 파일은 같은 암호문을 만들고 모든 파일은 정확히 같은 키를 사용하여 암호화됩니다.
랜섬웨어에 암호화된 파일은 각 파일의 시작 부분에 메그니베르 랜섬웨어의 특정 파일에 대해 상수인 16자 길이의 식별자가 추가되는 구조로 되어 있습니다. 그리고 모든 파일이 완료되면 이제 몸값을 받으려고 랜섬 노트를 생성합니다. 내용은 다음과 같습니다.

ALL Y0UR D0CUMENTS, PHOTOS, DATABASES AND OTHER IMP0RTANT FILES HAVE BEEN ENCRYPTED!
====================================================================================================
Your files are NOT damaged! Your files are modified only. This modification is reversible.
The only 1 way to decrypt your files is to receive the private key and decryption program.
Any attempts to restore your files with the third-party software will be fatal for your files!
====================================================================================================
To receive the private key and decryption program follow the instructions below:
1. Download "Tor Browser" from https://www.torproject.org/ and install it.
2. In the "Tor Browser" open your personal page here:
http://[희생자 ID].ofotqrmsrdc6c3rz.onion/EP866p5M93wDS513
Note! This page is available via "Tor Browser" only.
====================================================================================================
Also you can use temporary addresses on your personal page without using "Tor Browser":
http://[희생자 ID].bankme.date/EP866p5M93wDS513
http://[희생자 ID].jobsnot.services/EP866p5M93wDS513
http://[희생자 ID].carefit.agency/EP866p5M93wDS513
http://[희생자 ID].hotdisk.world/EP866p5M93wDS513
Note! These are temporary addresses! They will be available for a limited amount of time!

보면 일단 기본적으로 비트코인을 얻어내기 위해서 Tor Browser를 설치를 유도합니다. 즉 다크넷을 이용을 하려면 Tor Browser가 필요하기 때문입니다. 그리고 나서 파일을 암호화하기 위해서 다음의 파일들을 검색하고 암호화를 진행합니다.

.doc, docx, xls, xlsx, ppt, pptx, pst, ost, msg, em, vsd, vsdx, csv, rtf, 123, wks, wk1, pdf, dwg, onetoc2, snt, docb, docm, dot, dotm, dotx, xlsm, xlsb, xlw, xlt, xlm, xlc, xltx, xltm, pptm, pot, pps, ppsm, ppsx, ppam, potx, potm, edb, hwp, 602, sxi, sti, sldx, sldm, vdi, vmx, gpg, aes, raw, cgm, nef, psd, ai, svg, djvu, sh, class, jar, java, rb, asp, php, jsp, brd, sch, dch, dip, p, vb, vbs, ps1, js, asm, h, pas, cpp, c, cs, suo, sln, ldf, mdf, ibd, myi, myd, frm, odb, dbf, db, mdb, accdb, sq, sqlitedb, sqlite3, asc, lay6, lay, mm, sxm, otg, odg, uop, std, sxd, otp, odp, wb2, slk, dif, stc, sxc, ots, ods, 3dm, max, 3ds, uot, stw, sxw, ott, odt, pem, p12, csr, crt, key, pfx, der, 1cd, cd, arw, jpe, eq, adp, odm, dbc, frx, db2, dbs, pds, pdt, dt, cf, cfu, mx, epf, kdbx, erf, vrp, grs, geo, st, pff, mft, efd, rib, ma, lwo, lws, m3d, mb, obj, x, x3d, c4d, fbx, dgn, 4db, 4d, 4mp, abs, adn, a3d, aft, ahd, alf, ask, awdb, azz, bdb, bib, bnd, bok, btr, cdb, ckp, clkw, cma, crd, dad, daf, db3, dbk, dbt, dbv, dbx, dcb, dct, dcx, dd, df1, dmo, dnc, dp1, dqy, dsk, dsn, dta, dtsx, dx, eco, ecx, emd, fcd, fic, fid, fi, fm5, fo, fp3, fp4, fp5, fp7, fpt, fzb, fzv, gdb, gwi, hdb, his, ib, idc, ihx, itdb, itw, jtx, kdb, lgc, maq, mdn, mdt, mrg, mud, mwb, s3m, ndf, ns2, ns3, ns4, nsf, nv2, nyf, oce, oqy, ora, orx, owc, owg, oyx, p96, p97, pan, pdb, pdm, phm, pnz, pth, pwa, qpx, qry, qvd, rctd, rdb, rpd, rsd, sbf, sdb, sdf, spq, sqb, stp, str, tcx, tdt, te, tmd, trm, udb, usr, v12, vdb, vpd, wdb, wmdb, xdb, xld, xlgc, zdb, zdc, cdr, cdr3, abw, act, aim, ans, apt, ase, aty, awp, awt, aww, bad, bbs, bdp, bdr, bean, bna, boc, btd, cnm, crw, cyi, dca, dgs, diz, dne, docz, dsv, dvi, dx, eio, eit, emlx, epp, err, etf, etx, euc, faq, fb2, fb, fcf, fdf, fdr, fds, fdt, fdx, fdxt, fes, fft, flr, fodt, gtp, frt, fwdn, fxc, gdoc, gio, gpn, gsd, gthr, gv, hbk, hht, hs, htc, hz, idx, ii, ipf, jis, joe, jp1, jrtf, kes, klg, knt, kon, kwd, lbt, lis, lit, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwp, lyt, lyx, man, map, mbox, me, mel, min, mnt, mwp, nfo, njx, now, nzb, ocr, odo, of, oft, ort, p7s, pfs, pjt, prt, psw, pu, pvj, pvm, pwi, pwr, qd, rad, rft, ris, rng, rpt, rst, rt, rtd, rtx, run, rzk, rzn, saf, sam, scc, scm, sct, scw, sdm, sdoc, sdw, sgm, sig, sla, sls, smf, sms, ssa, sty, sub, sxg, tab, tdf, tex, text, thp, tlb, tm, tmv, tmx, tpc, tvj, u3d, u3i, unx, uof, upd, utf8, utxt, vct, vnt, vw, wbk, wcf, wgz, wn, wp, wp4, wp5, wp6, wp7, wpa, wpd, wp, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, xd, xlf, xps, xwp, xy3, xyp, xyw, ybk, ym, zabw, zw, abm, afx, agif, agp, aic, albm, apd, apm, apng, aps, apx, art, asw, bay, bm2, bmx, brk, brn, brt, bss, bti, c4, ca, cals, can, cd5, cdc, cdg, cimg, cin, cit, colz, cpc, cpd, cpg, cps, cpx, cr2, ct, dc2, dcr, dds, dgt, dib, djv, dm3, dmi, vue, dpx, wire, drz, dt2, dtw, dv, ecw, eip, exr, fa, fax, fpos, fpx, g3, gcdp, gfb, gfie, ggr, gih, gim, spr, scad, gpd, gro, grob, hdp, hdr, hpi, i3d, icn, icon, icpr, iiq, info, ipx, itc2, iwi, j, j2c, j2k, jas, jb2, jbig, jbmp, jbr, jfif, jia, jng, jp2, jpg2, jps, jpx, jtf, jw, jxr, kdc, kdi, kdk, kic, kpg, lbm, ljp, mac, mbm, mef, mnr, mos, mpf, mpo, mrxs, my, ncr, nct, nlm, nrw, oc3, oc4, oc5, oci, omf, oplc, af2, af3, asy, cdmm, cdmt, cdmz, cdt, cmx, cnv, csy, cv5, cvg, cvi, cvs, cvx, cwt, cxf, dcs, ded, dhs, dpp, drw, dxb, dxf, egc, emf, ep, eps, epsf, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fif, fig, fmv, ft10, ft11, ft7, ft8, ft9, ftn, fxg, gem, glox, hpg, hpg, hp, idea, igt, igx, imd, ink, lmk, mgcb, mgmf, mgmt, mt9, mgmx, mgtx, mmat, mat, ovp, ovr, pcs, pfv, plt, vrm, pobj, psid, rd, scv, sk1, sk2, ssk, stn, svf, svgz, tlc, tne, ufr, vbr, vec, vm, vsdm, vstm, stm, vstx, wpg, vsm, xar, ya, orf, ota, oti, ozb, ozj, ozt, pa, pano, pap, pbm, pc1, pc2, pc3, pcd, pdd, pe4, pef, pfi, pgf, pgm, pi1, pi2, pi3, pic, pict, pix, pjpg, pm, pmg, pni, pnm, pntg, pop, pp4, pp5, ppm, prw, psdx, pse, psp, ptg, ptx, pvr, px, pxr, pz3, pza, pzp, pzs, z3d, qmg, ras, rcu, rgb, rgf, ric, riff, rix, rle, rli, rpf, rri, rs, rsb, rsr, rw2, rw, s2mv, sci, sep, sfc, sfw, skm, sld, sob, spa, spe, sph, spj, spp, sr2, srw, wallet, jpeg, jpg, vmdk, arc, paq, bz2, tbk, bak, tar, tgz, gz, 7z, rar, zip, backup, iso, vcd, bmp, png, gif, tif, tiff, m4u, m3u, mid, wma, flv, 3g2, mkv, 3gp, mp4, mov, avi, asf, mpeg, vob, mpg, wmv, fla, swf, wav, mp3

그리고 랜섬웨어는 다음과 같이 새로운 폴더를 생성합니다.

%Temp%\(확장자).exe
%Temp%\(희생자 ID).[확장자]
READ_ME_FOR_DECRYPT_[희생자 ID]_.txt
그리고 암호화 대상을 검색하기 위해서 다음과 같은 폴더를 검색합니다.
\$recycle.bin\
\$windows.~bt\
\boot\
\documents and settings\all users\
\documents and settings\default user\
\documents and settings\localservice\
\documents and settings\networkservice\
\program files\
\program files (x86)\
\programdata\
\recovery\
\recycler\
\users\all users\
\windows\
\windows.old\
\appdata\local\
\appdata\locallow\
\appdata\roaming\adobe\flash player\
\appData\roaming\apple computer\safari\
\appdata\roaming\ati\
\appdata\roaming\intel\
\appdata\roaming\intel corporation\
\appdata\roaming\google\
\appdata\roaming\macromedia\flash player\
\appdata\roaming\mozilla\
\appdata\roaming\nvidia\
\appdata\roaming\opera\
\appdata\roaming\opera software\
\appdata\roaming\microsoft\internet explorer\
\appdata\roaming\microsoft\windows\
\application data\microsoft\
\local settings\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\

일단 기본적으로 이런 랜섬웨어로 부터 컴퓨터가 악성코드가 감염되는 것을 방지하려면 최소한 윈도우 업데이트는 기본적으로 하고 윈도우 업데이트를 하기 귀찮다고 하면 윈도우 업데이트는 자동 업데이트 부분을 수동으로 변경하지 않으면 윈도우는 인터넷에 연결이 되어져 있으면 기본적으로 보안 업데이트를 진행을 합니다. 그리고 나서 사용을 하는 프로그램은 최신 업데이트로 유지를 하면 그리고 백신프로그램도 함께 실시간 감시, 최신 업데이트로 유지를 하는 것이 중요합니다. 그리고 토렌트 같은 곳에서 파일을 함부로 다운로드 및 실행을 하는 것도 주의하시길 바랍니다. 그리고 지난번에 소개해 드린 우크라이나를 노린 랜섬웨어 처럼 아마도 특정 지역, 특정 국가 및 언어를 사용하는 랜섬웨어는 증가할 것으로 생각합니다.


반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band