작년 10월부터 국내 사용자만을 대상으로 유포되는 메그니베르(Magniber) 랜섬웨어에 대한 복구툴을 ASEC 블로그를 통해 4 2일에 공개했다확장자 별 복구에 필요한 키벡터정보 제공을 통해 해당 확장자로 암호화된 사용자에게 복구할 수 있는 기능을 제공하였다하지만지난 주말(4 8)에 확인된 메그니베르에서는 복구에 필요한 벡터정보를 랜덤하게 생성하는 구조로 암호화 방식이 변경되었다동일한 암호화 확장자에 서로 다른 벡터 값이 생성되는 구조를 갖는다

(GetTickCount 함수를 통한 랜덤생성)


[기존] README.txt

: URL 주소에서 붉은색 표시부분이 벡터정보에 해당한다.


ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

=========================================================================================

 Your files are NOT damaged! Your files are modified only. This modification is reversible.


 The only 1 way to decrypt your files is to receive the private key and decryption program.


 Any attempts to restore your files with the third party software will be fatal for your files!

 ========================================================================================

 To receive the private key and decryption program follow the instructions below:


 1. Download "Tor Browser" from https://www.torproject.org/ and install it.


 2. In the "Tor Browser" open your personal page here:


 http://0290t5v57ebu3f22r41.7pvbou2ievub53gq.onion/WB7Nd859MS90Q017


 Note! This page is available via "Tor Browser" only.

 ========================================================================================

 Also you can use temporary addresses on your personal page without using "Tor Browser":


 http://0290t5v57ebu3f22r41.pistay.pw/WB7Nd859MS90Q017


 http://0290t5v57ebu3f22r41.fitcard.host/WB7Nd859MS90Q017


 http://0290t5v57ebu3f22r41.gappull.space/WB7Nd859MS90Q017


 http://0290t5v57ebu3f22r41.oddnine.site/WB7Nd859MS90Q017


 Note! These are temporary addresses! They will be available for a limited amount of time! 


[변경] README.txt

: URL 주소에서 파란색 표시부분이 벡터가 아닌 확장자 정보에 해당한다. (벡터정보 랜덤하게 생성)


ALL YOUR DOCUMENTS PHOTOS DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!

 ========================================================================================

 Your files are NOT damaged! Your files are modified only. This modification is reversible.


 The only 1 way to decrypt your files is to receive the private key and decryption program.


 Any attempts to restore your files with the third party software will be fatal for your files!

 ========================================================================================

 To receive the private key and decryption program follow the instructions below:


 1. Download "Tor Browser" from https://www.torproject.org/ and install it.


 2. In the "Tor Browser" open your personal page here:


 http://bicjzusdxey82om20w0.xidr33zp37jbu4tv.onion/dpktdqtdz


 Note! This page is available via "Tor Browser" only.

 ========================================================================================

 Also you can use temporary addresses on your personal page without using "Tor Browser":


 http://bicjzusdxey82om20w0.gaveodd.website/dpktdqtdz


 http://bicjzusdxey82om20w0.backfan.site/dpktdqtdz


 http://bicjzusdxey82om20w0.madpart.pw/dpktdqtdz


 http://bicjzusdxey82om20w0.lesssex.host/dpktdqtdz


 Note! These are temporary addresses! They will be available for a limited amount of time! 


따라서 완벽한 복구를 위해서는 확장자와 키 정보 외에 가변적인 벡터정보를 알아야 하는 추가 작업이 필요한 상황이다현재 분석팀에서는 감염 사용자 마다 서로 다른 벡터정보를 획득하는 방법에 대해 연구 중이다. 추후 블로그를 통해 별도의 툴을 제공하고자 한다.

 

랜섬웨어 제작자 역시 가변적인 벡터정보를 알 수 없음으로 테스트로 복구해주는 사이트에서 복구 시도 시아래와 같이 8시간이 소요될 수 있다는 문구가 추가된 것을 알 수 있다제작자도 정확한 벡터정보를 알 수 없음으로 알려진 포멧에 대한 정보와 무수히 많은 키 대입을 통해 유추하는 것으로 추정된다. 또한일부 포멧이 정형화되지 않은 파일(JS파일)의 경우복구가 실패하는 것을 확인하였다.



현재 분석팀에서는 메그니베르 랜섬웨어의 유포지를 지속적으로 모니터링하고 있으며, 이를 바탕으로 아래와 같이 Generic 진단을 수행하고 있다. 또한, 파일진단이 아닌 행위탐지를 통해서도 암호화를 사전에 차단하고 있다.



[Magniber 랜섬웨어 감염방지 방법]


Magniber 랜섬웨어는 멀버타이징 (Malvertising) 기법으로 감염이 되며 악용되는 취약점은 다음과 같습니다. 따라서 해당 취약점에 대한 보안 업데이트를 하지 않으면 재감염 될 수 있습니다. 따라서 반드시 아래 글을 참고하여 보안 업데이트를 진행 해주시기 바랍니다.


- 스크립팅 엔진 메모리 손상 취약점 (CVE-2016-0189)


취약점 대상의 인터넷 익스플로러 버전은 다음과 같습니다.


- 인터넷 익스플로러 9, 10, 11


최신 버전의 인터넷 익스플로러는 다음 경로에서 자신의 OS 환경에 맞는 것으로 다운로드 할 수 있습니다.

- https://support.microsoft.com/en-us/help/17621/internet-explorer-downloads


또한 윈도우 보안 업데이트는 다음과 같이 진행 할 수 있습니다.


- 윈도우 시작 버튼 -> 모든 프로그램 -> Windows Update


Posted by 분석팀