작년부터 한국 OS만을 타깃으로 공격을 하던 Magniber랜섬웨어가 지난 주말부터 다시 유포를 시작했습니다.

 

 

Magniber의 경우 이메일이나, P2P 다운로드 뿐만 아니라 인터넷 홈페이지에 접속만 해도 감염이 될 수 있는 랜섬웨어입니다.

 

해당 랜섬웨어의 경우 안랩에서 복원툴이 나온 이후에 활동을 멈춘것 처럼 보였으나 6월 초부터 다시 활동하고 있는것으로 확인되었습니다.

 

현재 안랩블로그에 게시되어 있는 확장자를 가진 파일이라면, 안랩에서 제공하는 복원툴로 복원이 가능하지만,

 

안랩에 게시되어 있지 않은 확장자를 가진 파일이라면 복원이 불가능합니다.

 

 

감염이 되면 파일명은 변하지 않으나, 확장자명은 랜덤한 영문자의 조합으로 변조되고, 폴더마다 README.txt파일이 생성됩니다.

 

해당 랜섬웨어는 컴퓨터를 재부팅 후에도 감염이 될 수 있으니 안전모드 진입 후 C:\Users(혹은 사용자)\(사용계정)\appdata\local\temp경로에 

수정된 날짜와 감염된 날짜가 같은 exe파일이나 dll파일이 남아 있는 경우 확인하여 제거하시기 바랍니다.

그 후에 컴퓨터를 다시 재부팅 하셔서, 작업스케줄러에 감염된 날짜에 생성된 스케줄을 삭제해주시기 바랍니다.

 

(작업 스케줄러 삭제하는 방법 : https://www.rancert.com/bbs/bbs.php?mode=view&id=91&bbs_id=case&page=1&part=&keyword=)

 

 

최근 Magniber 랜섬웨어의 요구비용은 약 2,300USD이며,

 

이전과 달리 비트코인(Bitcoin)과 대시(DASH) 중 하나를 선택하여 지불할 수 있습니다.

 

비용을 지불하고 복원을 진행하려면 해커가 만들어 놓은 페이지에 접속을 해야 하는데 

 

접속을 하게 되는 순간부터 5일이란 유효시간이 시작 되며, 유효시간이 만료 되면

 

처음 요구했던 금액에서 2배의 금액으로 오르기 때문에 복원진행을 하실 의향이 있으시면 

 

모든것이 준비된 상태에서 접속하시기 바랍니다.

 

 

랜섬웨어는 예방이 가장 중요합니다.

 

백업 데이터가 있다면 랜섬웨어는 전혀 위협적인 존재가 아닙니다.

 

중요한 데이터는 반드시 백업을 해두어 랜섬웨어를 예방하시기 바랍니다.