매그니베르 랜섬웨어는 2017년 처음 등장한 랜섬웨어 중 하나로, 한국어 운영체제 또는 한국 아이피 주소에서만 작동하는 것이 특징인 일종의 해킹 툴이다.

매그니베르 랜섬웨어는 지난 몇년간 인터넷 익스프로러(Internet Explorer) 취약점을 통해 유포돼 왔다. 하지만 최근에는 엣지나 크롬 브라우저 등에서 윈도우 설치 패키지 파일(.msi) 형태로 유포되고 있다. 매그니베르 랜섬웨어의 공격대상은 아시아 전역으로 광범위한 편인데 한국이 집중 타겟으로 알려져 있다.

매그니베르 랜섬웨어에 감염된 사례 중 재감염 됐다는 피해 사례를 분석한 결과, 시스템이 다시 시작될 때마다 새로운 매그니베르 코드를 다운로드 받아 암호화가 되는 식으로 유포되는 것으로 나타났다.

매그니베르는 파일 암호화를 위해 방해되는 부분은 모두 제거한 형태로 유포되고 있는데, 안티 바이러스 제품의 파일 기반 탐지를 우회하는 것은 물론이고 실시간으로 변형된 형태를 제작해 유포하는 식이다.

공격자들은 매그니베르 랜섬웨어가 차단되는 것을 우회하기 위해 의미 없는 파일을 등록하고 해당 경로에 파일을 생성해 파일이 실행될 경우 같이 실행될 레지스에 랜섬웨어를 다운로드 하는 명령어를 저장하는 식의 방법을 썼다.

이 때문에 컴퓨터를 재부팅하게 되면 이때 저장된 레지스트리로 인해 새로운 매그니베르 랜섬웨어를 다운로드 받아오는 과정이 발생하는 것이다.

보안업계 관계자는 "올해 1월 말부터 계속 유포가 증가하던 매그니베르 랜섬웨어가 현재는 좀 잠잠해진 것으로 보이지만, 재감염 피해사례가 속출하고 있는 만큼 조심해야 한다"며 "최신 윈도우 버전의 크롬, 엣지브라우저 사용자를 대상으로 확산되고 있기 때문에 특히 조심해야 하며 한 번 감염된 시스템일수록 더욱 주의를 기울여야 한다"고 말했다.

이어 "주기적으로 백신 프로그램으로 악성 바이러스나 랜섬웨어가 있는지 살피는 것이 좋다"고 권고했다.