Magniber(혹은 매그니버, 매그니베르)는 이전 CBER 계열 랜섬웨어의 변종으로 Magnitude Exploit Kit으로 배포되어 붙여진 이름이다.

주요 공격 대상은 한국어를 사용하는 윈도우즈 시스템이다.

AES-128-CBC 알고리즘을 사용한다. 요구 금액은 0.2~0.4 BTC(비트코인)이고 5일 내에 지급되어야 한다.

파일 1건에 한하여 공격자의 웹 사이트에서 무료로 복호화 할 수 있다.

• 2017년 10월 14일, 첫 magniber 랜섬웨어 암호화 사례 kgpvwnr 확장자 파일 확인됨
• 같은 암호화 방식인 ihsdj 확장자 파일 확인됨
• 네트워크 동적키(dynamic key), 내장된 정적키(static key) 확인됨. 한국어 사용자에게만 동적키 적용하여 복호화 어렵게 만듬.
• Malwarebytes에서 정적키에 한하여 복호화 방법이 나옴. 암호화 과정에서 동적키를 받지 않은 사례가 있어 복호화 가능.
• 암호화 알고리즘의 블록 길이 표현이 변경됨
• GetTickCount API를 이용한 밀리초(ms) 단위 랜덤 초기화 벡터(IV) 첫 적용. 복호화 이후에도 헤더(첫 16 바이트)가 깨지는 특징을 가짐.
• 안랩이 랜덤 초기화 벡터(IV)와 정적키(static key), 블록 길이 문제에 대응한 Magniber 복호화 도구를 배포함
• 일부 형식은 샘플에서 정적키를 직접 취득 후 복호화하는 시도가 필요함.
• 파일리스(fileless) 방식의 배포로 변경. EXE 실행 파일이 아닌 DLL 등의 동적 적재가 가능한 형태로 변경됨.
• 초기화 벡터(IV)와 키(Key)를 모두 랜덤화. 하지만 여전히 GetTickCount API로 부터 비롯되는 취약점의 여지는 남기고 있음.
• 성인만화(hitomi.la), 유투브 다운로더(Youtube downloader) 웹 사이트를 중심으로 공격적인 배포가 이루어짐. (형식: axrxru)
• 이 이후로는 추가 복호화 절차가 나오지 않음.
• 악성광고, 전자우편 등으로 배포 경로 확대. 추후 갠드크랩, 소디노키비로 발전
• 이후 지속적인 신규 사례가 나오고 있음.

• Malwarebytes: here
• 안랩: here
• 한국인터넷진흥원: here

• Malwarebytes: 초기버전 Magniber의 정적키로 암호화된 파일에 적용 가능하다. KEY/IV 필수
• 안랩: 암호화 파일 위치에 복호화 파일을 생성함. 여유 용량이 암호화된 파일 총 용량의 100% 이상 있어야 한다.
• 한국인터넷진흥원: 복호화 도구와 암호화 파일이 같은 디렉토리에 있어야 함. kgpvwnr 형식만 복호화 가능하다.

• 갠드크랩
• 소디노키비
• 네봄이

• [분석 보고서] Magniber2 랜섬웨어 암호기능 분석 보고서 (한국인터넷진흥원 암호이용활성화, 2019-12-18)
• [분석 보고서, 복구도구] Magniber 랜섬웨어 암호기능 분석 보고서 및 복구도구 (한국인터넷진흥원 암호이용활성화, 2019-09-06)
• 한국 타켓, 신종 랜섬웨어 마이랜섬(Magniber) 등장 (한국인터넷진흥원 KrCERT, 2017-10-31)
• ‘마이랜섬’랜섬웨어 피해 예방을 위한 보안 강화 권고 (한국인터넷진흥원 KrCERT, 2017-10-23)
• Magniber ransomware: exclusively for South Koreans (Malwarebytes, 2017-10-18)
• https://blog.malwarebytes.com/threat-analysis/2018/07/magniber-ransomware-improves-ex (Malwarebytes, 2018-07-16)
• Magniber 복구 가능 확장자 목록 (안랩, 2018-04-03)
• Magniber 랜섬웨어 복구툴 (확장자 별 키 정보) (안랩, 2018-03-30)
• [가이드] 새로운 Magniber 랜섬웨어 복구를 위한 사용자 작업 (안랩, 2018-04-10)
• Magniber 랜섬웨어 암호화방식 변화 (안랩, 2018-04-09)
• Magniber 랜섬웨어 유포 방식의 변화 (exe->dll) (안랩, 2018-03-27)
• New ransomware Magniber sets its target on South Korea (Sonicwall, 2017-10-26)
• Magniber 랜섬웨어, 한국에서 다른 아시아 국가들로 확산 돼 (이스트시큐리티 알약 블로그, 2018-07-17)
• Magniber 랜섬웨어 변종에 의해 암호화된 파일 복구 방법 (울지않는벌새, 2018-04-08)
• 2018년 5월 이전 매그니베르(Magniber) 복호화/복구 정보 (바이러스 제로 시즌 2, 2018-04-04)
• 헤더 영역에 더미가 삽입된 매그니베르(Magniber) 변종 관련 정보 (바이러스 제로 시즌 2, 2018-04-07)
• 매그니베르(Magniber) 키 길이가 다른 항목 저장용 (바이러스 제로 시즌 2, 2018-04-08)
• 무작위 벡터 값을 사용하는 매그니베르(Magniber) 변종 관련 정보 (바이러스 제로 시즌 2, 2018-04-09)
• Magniber 랜섬웨어 파일 생성방식의 변화 (파일은폐) (안랩, 2018-07-02)
• Magniber 랜섬웨어 구동 방식의 변화 (forfiles.exe 사용) (안랩, 2018-02-20)
• Magniber 랜섬웨어 유포 스크립트의 변화 (안랩, 2018-03-05)
• Magniber 랜섬웨어 구동 방식의 변화 (TSWbPrxy.exe 사용) (안랩, 2018-03-16)
• Magniber – a dangerous ransomware virus which returns with the stronger version to infect Korean PC users (2-Spyware, 2018-08-14)
• Decryptor for Magniber ransomware (github/gist/evilsocket/magniber_decryptor.cpp, 2017-10-19)
• related to Magniber (github/gist/hasherezade/magniber_key_iv.cpp, 2017-07-12)