본문 바로가기

벌새::Analysis

MBR 변조를 통해 부팅을 방해하는 PETYA 랜섬웨어 주의 (2016.3.28)

반응형

최근 해외에서 특정 악성 파일을 실행 시 Master Boot Record (MBR) 전체를 변조하여 정상적인 부팅을 하지 못하도록 한 후 금전을 요구하는 PETYA 랜섬웨어(Ransomware)가 유포된다는 정보가 공개되었습니다.

MBR 영역을 건드리는 Locker 계열은 이전에도 등장한 적이 있었기에 새로운 방식은 아니지만 일단 감염될 경우 복구하기 어렵다는 점에서 다른 방식의 랜섬웨어(Ransomware)보다도 특히 주의해야 합니다.

우선 유포 방식은 독일에 위치한 회사를 타켓으로 메일을 통해 이력서를 전송하여 Dropbox에 업로드된 파일을 다운로드하도록 유도하고 있으며, 의심없이 실행 시 시스템에 저장된 파일은 암호화하지 않고 MBR 영역을 자신의 코드로 덮어쓰기한 후 블루스크린(BSoD)이 발생합니다.

이후 시스템은 자동으로 재부팅을 진행하는 과정에서 CHKDSK 검사 단계를 진행하는데 이는 NTFS 파일 시스템이 PETYA 랜섬웨어에 의해 암호화되어 Master File Table (MFT) 엔트리를 읽을 수 없기 때문으로 보입니다.

CHKDSK 검사가 완료된 후에는 MBR 영역에 삽입된 코드를 통해 붉은색 바탕에 아스키(ASCII) 코드로 작성된 해골 모양이 반짝거리면서 키보드 키를 클릭하도록 유도합니다.

이를 통해 최종적으로 "You became victim of the PETYA RANSOMWARE!" 메시지를 통해 군사적 수준의 암호화 알고리즘으로 하드 디스크가 암호화되었음을 안내하며, 다른 컴퓨터에서 Tor Browser를 이용하여 특정 웹사이트 접속을 통해 제시된 개인 복호화 코드를 입력하여 금전을 지불하라고 안내하고 있습니다.


이런 상황에서 Fixmbr 등과 같은 방식으로 MBR 영역을 복구할 수는 있지만 암호화된 MFT는 복호화할 수 없으므로 정상적으로 시스템에 접속할 수 없는 문제가 발생하며, 실제 PETYA 랜섬웨어 유포자 웹사이트에서도 함부로 복구를 시도하지 말라고 경고하고 있습니다.

PETYA 랜섬웨어 감염으로 접속을 유도하는 안내 사이트에서는 정해진 기간 안에 비트코인(Bitcoin) 가상 화폐로 금전을 지불하지 않을 경우 2배로 인상된다고 경고하고 있습니다.

만약 금전 지불이 이루어졌다면 12시간 안에 확인되어 복호화 키를 제공한다고 안내하고 있습니다.


■ MBR 영역을 변조하는 PETYA 랜섬웨어 대응 방법

PETYA 랜섬웨어를 비롯한 MBR 영역을 건드리는 악성코드에 대비하여 MBR 보호 기능이 새롭게 추가된 AppCheck 랜섬웨어 백신을 이용해 보시기 바랍니다.


PETYA 랜섬웨어는 실행 시 파일 암호화는 수행하지 않고 MBR 영역 수정을 시도하므로 차단만 이루어진다면 별다른 피해가 발생하지 않으므로 메일을 통해 수신되는 첨부 파일 또는 링크를 통해 다운로드되는 파일을 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

728x90
반응형
  • 불만왕투덜이 2016.03.28 17:47 댓글주소 수정/삭제 댓글쓰기

    벌새님

    이 악성코드에 감염되면 포맷도 안돼요??

    젠장 대단한 놈들이야

    정보 잘 보고 갑니다

    수고 하세요

  • 혹시 Avast에도 있는 지 확인해 주실수 있으련지요...(MBR 보호 관련 기능)

    • avast!의 경우 옵션으로는 MBR 보호 기능이 따로 나와 있지는 않지만 행위 기반으로 막을 수 있지 않을까 싶습니다.

      어차피 행위 중에 MBR 보호가 포함되어 있다면 막을껄로 보입니다. 내일경에 한 번 확인해 보겠습니다.

    • 감사합니다!

  • 어렵지만 좋은 자료들 많군요

  • 이럴수가.. 2016.03.29 04:26 댓글주소 수정/삭제 댓글쓰기

    오늘, cerber명령어로 된 랜섬웨어라는 것에 감염이 되었습니다.. 그것도 외장형하드에 있는 곳에.. 그래서 중요한 모든 각종의 프로그램을 삭제를 하였습니다.. 무척이나 속이 터집니다.. 잠시 밖에 나갔다가 돌아 왔는 데 한시간도 안 된 사이에 벌어진일이라, 황당하기가 그지 없더군요.. 이 앱체크라는 것은 설치를 하면은 외장형하드에도 걸린다고 싶으면 미리 방지를 하여 주는 것이나요..? 이 프로그램에 대해서 자세한 사용 방법을 알려 주시면 정말 고맙겠습니다..

    • http://hummingbird.tistory.com/category/%EB%B2%8C%EC%83%88::Software

      2015년 11월 이후에 작성한 게시글에서 앱체크(AppCheck) 글을 보시면 제품 소개가 다수 있습니다.

  • V3 Lite로 해당 랜섬웨어와 MBR 훼손 둘 다 방어할 수 있나요??

    • MBR 보호 기능이 들어가 있는 제품이라면 MBR 건드리면 다 차단할겁니다.

      랜섬웨어의 경우에는 옵션을 최상위로 설정하시면 거의 대부분의 랜섬웨어는 평판에서 실행 여부를 물어보기 때문에 차단 가능합니다.

      단지 V3 제품 사용자들 중에 감염되는 경우는 솔직히 제품을 설치하고 옵션을 그대로 사용하기 때문입니다. 진단 수준을 올리시면 감염되기 어렵습니다.

  • 제일 좋은방법은 기본 수칙들을 잘 지키는것이 좋은방법이 아닐까 생각이됩니다