랜섬웨어 Magniber - 다양한 유포 방식으로 변경

닉맨 2022.10.13 09:26:01

Magniber 랜섬웨어는 최근 까지도 피해를 주는 랜섬웨어로 다양한 유포 방법을 사용하고 있습니다

 

2022년만 해도 다음과 같은 확장자 변경을 통해 유포 되고 있습니다

 

.msi (2022년2월) -> .cpl (2022년7월) -> .jse .js .msi (2022년9월)

 

최근 9월에는 .jse -> .js -> .msi로 변경하여 유포 되고 있습니다

 

.msi로 다시 되돌아온 이유로는 Internet Explorer 웹 브라우저의 사용자 감소로 인하여 Chrom이나 Microsoft Edge 웹브라우저 사용자를 대상으로 하는것으로 보입니다

 

사용자가 인터넷 검색을 통해 접속한 성인 사이트 접속시 추가적으로 오픈되는 웹페이지를 통해 다운로드 됩니다

백업웨어.png

 

Chrom 웹 브라우저는 .msi 악성 파일이 다운로드 되고 Microsoft Edge 웹 브라우저는 .zip 압축 파일 안에 .msi 악성 파일이 포함되어 다운로드 됩니다

 

다운로드된 악성 파일을 실행하면 Installer 창을 생성하여 "Please wait while Windows configures Installer" 메시지를 생성하며, 파일 암호화를 진행합니다

백업웨어3.png

 

확장자 변경은 "문서.txt.<7~9자리 영문 Random 확장명>" 형태로 변경 되며

 

안내 파일은 "README.html"파일이 각 폴더 마다 생성 됩니다

백업웨어2.png

 

 

 

 

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다