전체 글보기1301 Magniber 랜섬웨어 복구툴 (랜덤벡터 복구기능 포함) 기존의 메그니베르(Magniber) 랜섬웨어 복구툴을 GUI형태로 개선하였으며, 4월 8일부터 확인된 가변적 벡터로 인해 복구가 불가능한 부분을 지원한다. (단, 확장자, 키 정보와 함께 암호화/복호화 파일 쌍이 존재하는 경우로 제한) 새로운 복구툴은 아래와 같은 화면이며, 암호화 확장자 정보만 입력하면 해당하는 키(Key), 벡터(IV)정보가 보여지는 구조를 갖는다. 확장자에 대한 키, 벡터정보는 복구툴 내부에 "magniber.db" 이름의 데이터베이스 파일로 관리되며 지속적으로 업데이트하여 제공할 예정이다. (2019년 10월 현재는 종료함) 만약, 확장자 입력 후 키, 벡터정보가 보여지지 않으면 복구가 불가능한 것으로 "magniber.db" 파일이 업데이트가 되어야 한다. [복구툴 사용방법] 1.. 2018. 4. 12. Magniber 랜섬웨어에서 GandCrab 랜섬웨어로 변경 메그니베르(Magniber) 랜섬웨어 유포지 모니터링 작업 중, 4월 11일(수)부터 기존의 메그니베르가 아닌 GandCrab 랜섬웨어가 유포되는 것이 확인되었다. GandCrab 랜섬웨어는 공개키 방식으로 암호화하는 것으로 알려져 있어 복구가 불가능 함으로 사용자 주의가 요구된다. 유포에 사용되는 취약점 및 생성경로, 파일의 외형은 모두 메그니베르와 동일한 것을 볼 때, 제작자가 복구툴 배포작업으로 인해 랜섬웨어를 교체한 것으로 추정된다. 유포에 사용되는 취약점은 동일함으로 취약점 패치를 통해 감염을 차단하는 것이 필요하다. 아래의 그림은 4월 11일 수집된 GandCrab 랜섬웨어에 의해 보여지는 랜섬노트와 감염 후 확장자를 나타낸다. 기존 3월 19일자 ASEC블로그에 언급된 샘플에서는 버전이 2... 2018. 4. 11. [가이드] 새로운 Magniber 랜섬웨어 복구를 위한 사용자 작업 4월 8일 이후 확인된 메그니베르(Magniber) 랜섬웨어는 기존의 복구툴로 복구가 불가능하다. 이유는 복구를 위해 필요한 벡터정보를 고정값이 아닌 랜덤하게 생성하여 발생한 것으로 동일한 확장자로 암호화된 파일이라도 사용자마다 사용된 벡터정보가 다를 수 있다. (단, 하나의 시스템에서 암호화된 파일은 동일 벡터가 사용) 이러한 문제로 인해 테스트로 복구 서비스를 제공하는 웹 페이지에서도 일부 알려진 포멧(JPG, PNG, BMP, DOCX, PPTX, HWP, XLSX 등)의 파일들을 제외하고 복구가 실패하는 것을 알 수 있다. 또한, 하나의 파일 복구에 8시간 정도 소요될 수 있다는 문구가 추가되었다. 4월 8일 이후에 암호화된 파일을 복구하기 위해서는 감염시점에 무료로 복구 테스트를 제공하는 페이지.. 2018. 4. 10. Magniber 랜섬웨어 암호화방식 변화 작년 10월부터 국내 사용자만을 대상으로 유포되는 메그니베르(Magniber) 랜섬웨어에 대한 복구툴을 ASEC 블로그를 통해 4월 2일에 공개했다. 확장자 별 복구에 필요한 키, 벡터정보 제공을 통해 해당 확장자로 암호화된 사용자에게 복구할 수 있는 기능을 제공하였다. 하지만, 지난 주말(4월 8일)에 확인된 메그니베르에서는 복구에 필요한 벡터정보를 랜덤하게 생성하는 구조로 암호화 방식이 변경되었다. 즉, 동일한 암호화 확장자에 서로 다른 벡터 값이 생성되는 구조를 갖는다. (GetTickCount 함수를 통한 랜덤생성) [기존] README.txt: URL 주소에서 붉은색 표시부분이 벡터정보에 해당한다. ALL YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORT.. 2018. 4. 9. Magniber 복구 가능 확장자 목록 해당 문서는 Magniber 랜섬웨어 중 복구가 가능한 확장자 목록을 관리합니다.툴의 상세 사용법 등의 추가 정보는 이전 글을 참고 하시기 바랍니다. [링크] 복구가능 확장자 키 벡터 kympzmzw Jg5jU6J89CUf9C55 i9w97ywz50w59RQY owxpzylj u4p819wh1464r6J9 mbfRHUlbKJJ7024P prueitfik EV8n879gAC6080r6 Z123yA89q3m063V9 rwighmoz BF16W5aDYzi751NB B33hQK9E6Sc7P69B bnxzoucsx E88SzQ33TRi0P9g6 Bo3AIJyWc7iuOp91 tzdbkjry n9p2n9Io32Br75pN ir922Y7f83bb7G12 iuoqetgb QEsN9KZXSp61P956 lM174P1e6.. 2018. 4. 3. Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) Magniber 랜섬웨어와 외형이 유사한 형태의 랜섬웨어로는 Hermes와 GandCrab 랜섬웨어가 있다. 즉, V3에서 "Trojan/Win32.Magniber"로 진단하는 파일 중에는 실제 Magniber가 아닌 유형이 존재할 수 있다. 각 랜섬웨어 별 랜섬노트를 통해 구분이 가능하다. § Hermes : DECRYPT_INFORMATION § GandCrab : CRAB-DECRYPT § Magniber : README 복구툴에서 복구가 가능한 형태는 README 이름의 랜섬노트를 갖는 Magniber 랜섬웨어이며, 아래와 같은 화면구성을 갖는다. 붉은색 표시부분의 값이 복구 시 사용되는 키 정보 중, 벡터값(IV)에 해당한다. 3월 30일 부터 현재까지 확인된 Magniber 랜섬웨어 확장자 별.. 2018. 3. 30. 확장자 별 복원 가능한 Magniber 랜섬웨어 국내 사용자를 타겟으로한 Magniber 랜섬웨어는 파일 내부에 고정된 대칭키 방식(AES-128, CBC모드)으로 파일을 암호화하며, 암호화에 사용된 키를 추가로 공개키로 암호화하는 과정이 없음으로 해당 대칭키 정보만 알면 복원이 가능한 구조를 갖는다. 하지만, 랜섬웨어는 암호화 과정 후에 자신을 삭제하는 기능이 존재하여, 사실상 복원이 불가능한 상황이다. 이러한 파일내부에 저장된 키 정보를 알면 복원이 가능하다는 취약성을 바탕으로 5개월 전 아래의 GitHub 사이트를 통해 Magniber 랜섬웨어의 복호화 코드가 공개되었다. https://gist.github.com/evilsocket/b89df665e6d52446e3e353fc1cc44711 당시 Magniber 랜섬웨어에 암호화된 파일의 시작 .. 2018. 3. 29. Magniber 랜섬웨어 유포 방식의 변화 (exe->dll) 멀버타이징(Malvertising)을 통해 유포되는 Magniber 랜섬웨어의 최근 유포 방식이 변화하였다. 기존에 유포되던 실행파일(.exe) 형식에서 라이브러리 파일(.dll)로 변화하여 유포되는 정황이 포착되었다. 은 Magniber 랜섬웨어 유포에 사용되는 스크립트 원본이다. 해당 스크립트는 Magniber 랜섬웨어를 사용자 시스템에 생성하고 실행하는 역할을 수행한다. 는 원본의 난독화가 해제된 스크립트이다. 유포 스크립트는 과 같이 %HOMEPATH% 경로에 DLL 형태의 랜섬웨어 파일을 생성한다. 그리고 의 빨간 박스의 실행문에 의해서 WMI 쿼리를 통해 DLL 파일을 실행한다. 해당 쿼리문은 과 같이 rundll32.exe를 이용해 랜섬웨어 DLL파일을 구동시키는 명령문이다. rundll32.. 2018. 3. 27. 이전 1 ··· 30 31 32 33 34 35 36 ··· 163 다음
