매그니베르(magniber) 랜섬웨어 대비, 복구 방법

매그니베르 랜섬웨어

매그니베르(Magniber) 랜섬웨어는

호스트에 파일 사용 권한을 획득하여

파일에 복구 불가능한 암호화를 한 후에

조작한 폴더에 Readme.html 파일을

생성하여 이를 읽은 사용자가

추적이 불가능한 토르(Tor)브라우저를

사용하여 몸값(Ransom)을 지불하도록

유도하는 악성 코드입니다.

 

특히 한글 윈도우 사용자를 노리는 점을

보면 해킹을 통해 외화벌이를 하는

북한의 사이버 부대라는 추정도 있는데

그들의 신원에 대해서는 아직

알려진 바가 없습니다.

(해외에 거주하는 한국인 해커나

피싱 범죄집단 일 수도 있다)

 

이 랜섬웨어의 특징은 스크립트 실행시

메모리에서 일부 파일 권한을 뺏어서

암호화를 한다음에 마지막에는 스스로

삭제하기 때문에 증거를 남기지 않아서

감염 경로 추적이 어렵습니다.

 

예전에 이 매그니베르에 걸렸을 때 보면

파일의 감염경로는 확인이 안되지만

사용자 문서영역 부터 일부 hwp, pdf 문서들을

순차적으로 암호화한 것을 확인했습니다.

 

보통 개인 윈도우 PC는 로그인 유저에게

사실상 시스템의 모든 권한이 있습니다.

 

첫번째로는 사용자 문서영역인

C:\Users\로그인사용자

의 폴더와 파일 권한을 탈취한 후

메모리에서 상주하며  그 다음 타겟을

감염시키는 방식이었다고 추측합니다.

 

드라이브도 옮겨갈 수 있으므로

상당히 치명적입니다.

주로 hwp, xls, pdf 등의 문서 파일을

감염시키기 때문에 만약 중요한 문서

(계약서, 비공개정보) 들이 감염되었을

경우 실제 몸값(Ransom)지불에 응하면

비트코인으로 굉장히 비싼 가격을 지불해야

복구를 해준다고 합니다. 이 마저도

100% 복구를 해주는게 아니기 때문에

사실상 복구가 어렵다고 합니다.

 

 

 

복구방법

과거 안랩에서는 메그니베르로 암호화를

걸린 파일들을 복구 하는 프로그램을

배포한 적이 있는데 메그니베르가 업그레이드

되서 파일마다 개인키 방식으로 암호화가

되어서 이제는 먹히지 않습니다.

 

사실상 메그니베르에 걸렸을 시에

복구가 힘들다는 결론입니다.

토르 브라우저에서 해커들과 접촉하여

일부 파일의 복구를 시도할 수 있겠으나

잘못하면 돈까지 털릴 가능성이 높습니다.

 

허망한 결론이지만 그래서 메그니베르의

피해가 많다고 합니다.

 

이것은 윈도우 사용자의 숙명이기도 한데요,

리눅스 계열보다 보안이 좋지 않습니다.

컴퓨터를 잘 쓰다가다가도 한번 이렇게

당하면 타격이 엄청 크게 됩니다.

 

한번 감염된 시스템은 다시 걸릴 수

있다는 점에 주의해야합니다.

 

사용자가 감지한 시점에 메그니베르는

자신의 역할을 끝내고 자가 삭제했을

가능성이 있는데요. 그래도 현재 프로세스에

코드가 남아있을 수 있습니다.

안랩의 V3 에서 악성코드, 랜섬웨어

치료 프로그램을 다운로드 받아서

검사하고 치료합니다. 안랩이 아니어도

안티 랜섬웨어를 사용하면 됩니다.

 

그 다음에 readme.txt 로 감염된 파일과

폴더를 전부 삭제하도록 합니다.

중요한 파일이라면 삭제하기가

참 힘들텐데 다른 방법이 없습니다.

 

혹시라도 나중에 복구 프로그램이

나오지 않을까 기대할 수 있는데

공개키 방식을 개인키로 바꿨다는 것은

그걸 암호화 시킨 해커들도 전부

풀 수 있는 건지 의심이 듭니다.

 

복구키 없이 암호화를 하는 것도

악성코드에게는 가능한 일입니다.

(그래서 악성이라고 함)

 

최종적으로는 PC를 포맷 후에

운영체제를 다시 설치하는 것을 권장합니다.

막 랜섬웨어 걸렸다고 해서 중요한

파일의 백업을 잊지 않도록 주의합니다.

 

*윈도우를 사용하지 않는 것이

가장 좋은 방법이겠으나 오랫동안

윈도우를 사용했다면 어려운 일입니다.

 

악성코드들과 함께 살아가는 법도

배워야 합니다. (자연의 원리)

 

대비 방법

 

평소에 바이러스 방지 프로그램을

사용하는 것은 좋은 습관입니다.

 

그리고 중요한 자료는 외장 하드나

USB 등 백업을 자주해야 합니다.

 

원론적인 이야기지만 이것을 하고

안하고는 차이가 큽니다.

 

매그니베르는 IE(인터넷 익스플로러) 취약점을

노린 랜섬웨어로 인터넷 익스플로러의

사용을 중단해야 합니다. MS사는 2021년에

IE 11의 지원을 종료했습니다... 만,

IE 호환성 모드를 사용할 수 있습니다.

 

레가시 사이트를 사용하기 위해서라지만

이것이 화근이 될 수 있기 때문에

웬만하면 점점 IE를 사용하지 않는 쪽으로

시대의 흐름이 가고 있습니다. IE 모드를

꼭 사용해야 한다면 반드시 바이러스

감시 프로그램을 켜놓고 사용 후에

전체 검사를 하는 것이 좋습니다.

 

이렇게 귀찮게 되니까 IE가 점점

사라질 수 밖에 없는 것 이지요.

 

개인적으로 가끔 IE 레가시 사이트를

사용하는데 엣지의 호환성 모드를 씁니다.

지원이 끓김 틈을 노리고 들어오는

코드들을 주의해야 하는 시기입니다.

(아예 IE 서비스를 사용하는 업체들이

없어져야 끝날 듯 합니다)

 

 

엣지 브라우저의 인터넷 익스플로러 모드 사용하기

엣지 브라우저의 인터넷 익스플로러 모드 사용하기

 

*복구가 안된다니 허무한 결론이지만

컴퓨터는 뭐 하나가 잘못되면 방법이

없는 경우도 많습니다.

 

평소에 백업을 생활화 하는 것도

피해를 줄일 수 있는 주요 방법입니다.

 

 

매그니베르 같은 랜섬웨어는 목적이

분명합니다. 사용자의 시스템을

완전히 파괴시키지 않으면서

효율적으로 몸값을 지불하도록

하는 방식입니다. 사용자에게

토르 브라우저를 사용하라는 것은

그들의 신원을 숨기면서도 돈을

갈취할 수 있는 영리한 방법입니다.

 

그래서 Ransomware (몸값 프로그램)

이라고 부릅니다. 납치범들이 몸값을

요구하고 뜯어가는 것과 유사합니다.

 

복구는 어렵지만 추가 피해를 최소화 하고

대비를 철저히 하는 것이 PC의 소중한

자료를 지키는 방법입니다.

 

 

https://asec.ahnlab.com/ko/27100/

매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444) - ASEC BLOG