본문 바로가기

벌새::Analysis

MBR 변조를 통해 부팅을 방해하는 PETYA 랜섬웨어 주의 (2016.3.28)

반응형

최근 해외에서 특정 악성 파일을 실행 시 Master Boot Record (MBR) 전체를 변조하여 정상적인 부팅을 하지 못하도록 한 후 금전을 요구하는 PETYA 랜섬웨어(Ransomware)가 유포된다는 정보가 공개되었습니다.

MBR 영역을 건드리는 Locker 계열은 이전에도 등장한 적이 있었기에 새로운 방식은 아니지만 일단 감염될 경우 복구하기 어렵다는 점에서 다른 방식의 랜섬웨어(Ransomware)보다도 특히 주의해야 합니다.

우선 유포 방식은 독일에 위치한 회사를 타켓으로 메일을 통해 이력서를 전송하여 Dropbox에 업로드된 파일을 다운로드하도록 유도하고 있으며, 의심없이 실행 시 시스템에 저장된 파일은 암호화하지 않고 MBR 영역을 자신의 코드로 덮어쓰기한 후 블루스크린(BSoD)이 발생합니다.

이후 시스템은 자동으로 재부팅을 진행하는 과정에서 CHKDSK 검사 단계를 진행하는데 이는 NTFS 파일 시스템이 PETYA 랜섬웨어에 의해 암호화되어 Master File Table (MFT) 엔트리를 읽을 수 없기 때문으로 보입니다.

CHKDSK 검사가 완료된 후에는 MBR 영역에 삽입된 코드를 통해 붉은색 바탕에 아스키(ASCII) 코드로 작성된 해골 모양이 반짝거리면서 키보드 키를 클릭하도록 유도합니다.

이를 통해 최종적으로 "You became victim of the PETYA RANSOMWARE!" 메시지를 통해 군사적 수준의 암호화 알고리즘으로 하드 디스크가 암호화되었음을 안내하며, 다른 컴퓨터에서 Tor Browser를 이용하여 특정 웹사이트 접속을 통해 제시된 개인 복호화 코드를 입력하여 금전을 지불하라고 안내하고 있습니다.


이런 상황에서 Fixmbr 등과 같은 방식으로 MBR 영역을 복구할 수는 있지만 암호화된 MFT는 복호화할 수 없으므로 정상적으로 시스템에 접속할 수 없는 문제가 발생하며, 실제 PETYA 랜섬웨어 유포자 웹사이트에서도 함부로 복구를 시도하지 말라고 경고하고 있습니다.

PETYA 랜섬웨어 감염으로 접속을 유도하는 안내 사이트에서는 정해진 기간 안에 비트코인(Bitcoin) 가상 화폐로 금전을 지불하지 않을 경우 2배로 인상된다고 경고하고 있습니다.

만약 금전 지불이 이루어졌다면 12시간 안에 확인되어 복호화 키를 제공한다고 안내하고 있습니다.


■ MBR 영역을 변조하는 PETYA 랜섬웨어 대응 방법

PETYA 랜섬웨어를 비롯한 MBR 영역을 건드리는 악성코드에 대비하여 MBR 보호 기능이 새롭게 추가된 AppCheck 랜섬웨어 백신을 이용해 보시기 바랍니다.


PETYA 랜섬웨어는 실행 시 파일 암호화는 수행하지 않고 MBR 영역 수정을 시도하므로 차단만 이루어진다면 별다른 피해가 발생하지 않으므로 메일을 통해 수신되는 첨부 파일 또는 링크를 통해 다운로드되는 파일을 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

728x90
반응형