올해 상반기 이후 잠잠했던 매그니베르 (Magniber) 랜섬웨어가 최근 다시 급격히 증가했다.
매그니베르 랜섬웨어는 주로 멀버타이징 기법을 이용하기 때문에 웹 사이트의 광고를 주의해야 하는데, 최근에는 광고가 포함된 웹 사이트에 접속하는
것만으로도 감염돼 사용자의 각별한 주의가 필요하다.
매그니베르 랜섬웨어는 대표적인 한국 타깃형 랜섬웨어로, 초반에는 한국어 윈도우 시스템을 타깃으로 삼았다. 특히 지난 1분기에 국내에 집중적으로
유포되며 상당한 피해를 입혔다. 그러나 지난 3월 안랩이 매그니베르 랜섬웨어에 의해 감염된 파일을 복호화하는 툴을 무료로 배포한 이후 급격히
감소했다. 지난 6월에 변종이 등장하기도 했지만 이후 매그니베르 랜섬웨어는 갠드크랩 등 다른 랜섬웨어에 비해 비율이 급감했다.
그러던 매그니베르 랜섬웨어가 10월들어 조금씩 증가하는 추세를 보인 것. 특히 10월 20일과 30일 사이에 매그니베르 랜섬웨어 감염이 급격히
증가했다. 사용자가 보안 패치를 적용하지 않은 PC에서 광고가 포함된 웹 사이트에 접속하면 이 광고에 포함된 악성 스크립트(javascript,
vbscript 등)가 실행되어 매그니베르 랜섬웨어에 감염된다. [그림 1]은 매그니베르 랜섬웨어의 감염 과정을 요약한 것이다.
[그림 1] 매그니베르 랜섬웨어 감염 과정
즉, 광고가 삽입되어 있는 웹 사이트에 사용자가 방문하면 매그니튜트 익스플로잇 킷Magnitude
Exploit Kit)이 사용자 시스템의 취약점을 통해 악성 스크립트를 실행하고 파일 암호화 등 악성
행위를 수행한다.
이렇게 매그니베르 랜섬웨어에 감염된 시스템에는 [그림 2]와 같은 랜섬노트가 나타나는데, 암호화된
파일을 복호화하기 위한 지시 사항이 담겨있다.
[그림 2] 감염 후 생성된 랜섬노트
안랩에 접수된 문의 및 신고 건수를 확인한 결과, 8월, 9월 대비 10월의 랜섬웨어 관련 상담
건수가 170% 증가했으며, 11월 초 현재 이러한 추세가 이어지고 있다. 랜섬웨어를 비롯한
악성코드는 대부분 운영체제(OS)나 애플리케이션의 취약점을 통해 감염된다. 최근 증가한 매그니베르
랜섬웨어 역시 인터넷 익스플로러(Internet Explorer, IE) 취약점을 통해 감염되었다.
최근 다시 기승을 부리는 랜섬웨어의 피해를 예방하기 위해서는 운영체제 및 주요 소프트웨어의 최신
패치를 빠짐없이 적용하고, V3의 엔진 버전을 최신 상태로 유지하는 것이 필요하다. 한편, 매그니베르
랜섬웨어는 멀버타이징 방식을 이용한 웹 사이트 광고를 통한 유포 외에도 스팸 메일을 이용해 유포된 바
있다. 따라서 발신자를 알 수 없는 메일이나 자극적인 제목의 이메일 및 첨부 파일은 열어보지 않는
것이 바람직하다.
[출처 : 안랩(((www.ahnlab.com)]
