한국을 노리는 랜섬웨어 Magniber 랜섬웨어(메그니베르 랜섬웨어)(README.txt) 복구툴 공개

일단 오늘은 한국을 목표하는 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상에 대해 알아보는 시간을 알아보겠습니다. 일단 랜섬웨어라는것이 기본적으로 개인적으로 사용자이든 공적으로 중요한 문서들을 개인정보 보호하기 위해서 사용이 되는 AES와RSA같은것을 역으로 이용해서 컴퓨터 취약점을 통하거나 또는 토렌트 같은 곳에서 출처가 의심스러운 파일을 실행했으면 랜섬웨어 같은 악성코드에 감염될 수가 있는 확률이 높아집니다.
메그니베르 랜섬웨어(Magniber ransomware)는 다른 랜섬웨어와 다르게 작동하는 것이 일반적인 랜섬웨어들은 기본적으로 자신이 원하는 대로 컴퓨터를 악성코드를 감염을 시키고 나서 자신이 수행하는 랜섬웨어 원칙에 맞게 비트코인을 입금을 하라고 컴퓨터를 검색해서 문서 또는 비디오파일 또는 사진파일들을 암호화시켜 사용자에게 비트코인을 요구를 하는 것이 특징이지만 이번 랜섬웨어인 메그니베르 랜섬웨어(Magniber ransomware)은 언어 점검, 외부 IP 및 지역들을 점검해서 한국에서 사용하는지 확인을 하는 과정을 거치게 됩니다.
즉 한국인이 해당 컴퓨터를 사용하는지 확인을 하려고 윈도우 언어, IP 주소, 지역들을 점검한다는 점에서 한국인을 노리는 랜섬웨어 입니다. 일단 해당 랜섬웨어는 기본적으로 CVE-2016-0189 취약점을 노린다는 점입니다. 즉 윈도우 업데이트를 하면 해당 랜섬웨어는 피해갈 수가 있습니다.
해당 CVE-2016-0189는 Internet Explorer의 메모리 손상 취약점입니다. 그리고 오랫동안 보이지 않고 있었던 Cerber ransomware(사이버 랜섬웨어)의 귀환을 알리는 랜섬웨어이기도 합니다.

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

일단 2017년 10월 중순경부터 한국어 운영체제를 사용하는 사용자에게 파일 암호화 행위가 이루어지는 랜섬웨어 입니다. 즉 기본적으로 윈도우 보안 업데이트 및 기타 프로그램에서 제공하는 보안 패치를 잘하면 해당 랜선웨어는 걸릴 확률이 줄어듭니다.
최근에 한국에 대표적인 보안 업체인 안랩(AhnLab)에서 최근에 유포되고 있는 Magniber 랜섬웨어(메그니베르 랜섬웨어)의 취약점을 확인하며 무료로 복구할 수가 있는 복구 도구를 공개했습니다. 다만, 기존에 유포된 랜섬웨어인 Magniber 랜섬웨어 중 "_HOW_TO_DECRYPT_MY_FILES_<Random>_.txt, READ_ME_FOR_DECRYPT_<Random>_.txt, READ_ME_FOR_DECRYPT.txt, READ_FOR_DECRYPT.txt, READ_ME.txt" 메시지 파일을 생성했던 변종은 복구할 수 없으며, 최근에 파일 암호화 후 생성되는 README.txt 메시지 파일이 생성되는 경우에만 복구할 수 있습니다.

일단 해당 랜섬웨어 복구를 하려면 기본적으로 파일 복구를 위해서는 반드시 키(Key)값과 벡터(Vetor)값을 사용자가 알고 있어야 합니다.

벡터(Vetor)값은 Magniber 랜섬웨어 감염으로 생성된 README.txt 파일에 표시된 URL 주소의 뒷자리 값으로 사용자가 확인할 수가 있습니다.

그리고 사용자는 기본적으로 암호화된 파일 확장명과 벡터값만 확인할 수 있으며 암호화에 사용된 공개키 정보는 알 수 없기에 안랩(AhnLab) 블로그에서는 지속적으로 복구 가능한 확장명을 기준으로 키 정보를 공개할 예정할 예정입니다. 일단 2018년 4월 2일경에 유포된 Magniber 랜섬웨어 변종에 의해 암호화된 파일은 .hxzrvhh 확장명으로 암호화된 경우에는 다음과 같이  적용을 할수가 있을것입니다.

암호화된 파일 확장명:.hxzrvhh
키(Key):EsoNSQ0oaSE614v
벡터(Vetor):lEF91UX3DHb1N194
암호화된 파일 확장명:.gcwssbfuw
키(Key)::B4484pQ2w3y6Icq6
벡터(Vetor):X0x117b1Um535FD8
4월 3일
암호화된 파일 확장명:.jxrhgat
키(Key):CZH7Fy6Q537ycWX3
벡터(Vetor):R9Ltm45J2oVk7ciZ
4월 3일
암호화된 파일 확장명:.qgsxyzidg
키(Key):g5eIdGlVqO9s1Naj
암호화된 파일 확장명:Nu4996t2h6m7K3bx

입니다.
일단 안랩에서 제공을 하는 Magniber 랜섬웨어 복구툴을 임의의 폴더에 다운로드한 후 실행을 위해서는 명령 프롬프트를 관리자 권한으로 실행합니다. 그리고 나서 Magniber 랜섬웨어 복구툴이 위치한 폴더로 지정하면 됩니다.
암호화된 개별 파일 복구 방법
Magniber 랜섬웨어에 의해 암호화된 파일 중 사용자가 특정 암호화된 파일만을 복구하는 방법은 다음과 같습니다.
먼저 CMD 명령 프롬프트 창에 MagniberDecryptV1 /f "암호화된 파일 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 씩으로 입력을 하시면 됩니다.
정 폴더 내의 파일 전체를 복구하는 방법
Magniber 랜섬웨어에 의해 암호화된 파일을 사용자가 특정 폴더 내에 모두 넣고 파일들을 일괄적으로 복구하는 방법은 다음과 같습니다.
CMD 명령 프롬프트 창에 MagniberDecryptV1 /d "암호화된 파일이 존재하는 폴더 경로" /e <암호화된 파일 확장명> /k <키(Key)> /v <벡터(Vetor)> 방식으로 정보를 입력하시면 됩니다.
물론 해당 방법은 일시적으로 사용할 수가 있습니다. 왜냐하면, 악성코드를 제작하는 사람들이 바꾸어 버리면 끝이니 때문입니다.
그리기 때문에 귀찮더라도 기본적으로 윈도우 업데이트를 꺼버리는 것은 하지 말며 그리고 랜섬웨어 방어 프로그램은 반드시 설치를 해서 사용을 하시면 됩니다.

<기타 관련 글>

[소프트웨어 팁/보안] - 랜섬웨어 예방 프로그램-RansomStopper

[소프트웨어 팁/보안] - 한국을 노리는 랜섬웨어-메그니베르 랜섬웨어(Magniber ransomware)감염 및 증상

[소프트웨어 팁/보안] - 랜섬웨어 노트를 제거를 해주는 스크립트 프로그램-Ransomware Information File Remover(랜섬웨어 인포메이션 파일 리무버)

[소프트웨어 팁/보안] - 윈도우 디펜더에서 랜섬웨어 방어 기능 사용 방법

[소프트웨어 팁/보안] - 랜섬웨어 예방을 위한 MBR 백업 및 MBR 복구을 도와주는 프로그램-HDHacker

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Ransomoff(랜섬오프)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방 프로그램-Cybereason RansomFree

[소프트웨어 팁] - 윈도우 악성코드로 파괴된 MBR 복구 방법

[소프트웨어 팁/보안] - 자신이 감염된 랜섬웨어 종류를 확인 가능한 프로그램-Bitdefender Ransomware Recognition Tool

[소프트웨어 팁/보안] - 랜섬웨어 예방을 도와주는 랜섬웨어 보호 도구-안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)

[소프트웨어 팁/보안] - 랜섬웨어 감염 예방을 위한 윈도우 네트워크 공유 기능 중지 방법

[소프트웨어 팁/보안] - 랜섬웨어로 부터 MBR 보호를 해주는 MBR필터(MBRFilter)

[소프트웨어 팁/보안] - 랜섬웨어부터 컴퓨터를 보호해주는 랜섬웨어 보호 도구-앱체크(App Check)

[소프트웨어 팁/보안] - 랜섬웨어가 남긴 찌꺼기 파일을 정리해주는 도구-Ransom Note Cleaner

[소프트웨어 팁/보안] - 랜섬웨어 감염을 예방해주는 보조 보안 프로그램-Bitdefender Anti Ransomware

[소프트웨어 팁/보안] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법

[소프트웨어 팁] - 랜섬웨어 예방을 위한 읽기전용 설정으로 파일 및 폴더 변경 금지 방법