check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

한글 윈도우만 노리는 매그니베르 랜섬웨어 활동 재개

2018년 06월 11일 월요일 김종수 기자 itman@ilovepcbang.com

올해 초 기승을 부리다 무료 복구툴이 등장해 무력화된 매그니베르(Magniber) 랜섬웨어가 이달 초부터 더욱 진화한 모습으로 다시 활동을 시작해 주의가 요구된다.

국내 사용자를 겨냥해 한글 윈도우 운영체제만을 감염시키는 매그니베르 랜섬웨어는 올해 초부터 맹위를 떨치다가 지난 4월 보안 전문 업체 안랩(AhnLab)이 내놓은 무료 복구툴에 막혀 모든 활동을 중단했는데, 지난 6월 2일부터 기존 복구툴을 무력화시킨 새로운 버전이 유포되고 있는 정황이 포착돼 다시금 문제가 되고 있다.

진화한 매그니베르 랜섬웨어는 지난 5월 MS 정기보안 업데이트를 통해 패치된 CVE-2018-8174 (VBScript 엔진 원격 코드 실행 취약점) 취약점을 악용하는데, 패치를 미적용한 시스템에서 악성 스크립트가 노출되는 웹 사이트에 접속할 경우 자동으로 매그니베르 랜섬웨어 감염을 유발하는 DLL 모듈을 다운로드한다.

그런 다음 윈도우 시스템 폴더에 존재하는 다양한 시스템 파일(ctfmon.exe, dwm.exe, explorer.exe, hh.exe, msiexec.exe, notepad.exe, taskhost.exe, verclsid.exe 등)을 추가 로딩하고 메모리에 랜섬웨어 모듈을 인젝션해 백신 탐지를 우회한다.

일단 여기에 감염되면 각 드라이브 영역에 존재하는 문서, 사진, 압축 등의 데이터 파일이 암호화되는데, 감염 PC마다 랜덤 확장파일명으로 암호화하는 특징을 지녔다. 모든 암호화 작업이 끝난 뒤에는 비트코인과 대시 가상화폐를 통해 2,300달러가량을 결제하라고 종용한다.

이번 매그니베르 랜섬웨어는 사이트 접속만으로 감염이 이뤄지고 복원이 어렵기 때문에 예방이 매우 중요하다. 따라서 PC방은 최신 보안 업데이트 적용과 더불어 의심스러운 웹사이트 및 이메일 접근 자제, 정기적인 자료 백업 등 보안 강화를 생활화해야만 피해를 예방할 수 있을 것으로 보인다.
<저작권자 ⓒ 아이러브PC방 (www.ilovepcbang.com) 무단전재 및 재배포 금지>
2개의 의견이 있습니다.
profile photo
쿠커 (kooq****) 2018-06-30 22:19:35
모두다 조심합시당..
랜섬은 정말 최악인듯 합니다.미리미리 선예방만이 살길 ..ㄷㄷ
profile photo
쪼깐이 (jang****) 2018-06-11 19:37:41
랜섬웨어 정말 걸리면 골치아픕니다..
저도 알바때문에 한번 걸린적이 있었는데..
하루 문닫고 전좌석 갈아업은기억이 있네요..ㅠㅠ
항상 랜섬웨어는 조심해야하는데 요즘은 인터넷만 잘못들어가도 침투한다고 합니다...
에휴 이런거 만드는놈들은 대체 무엇을 노리고 만드는지...
삭제
최신뉴스