울지않는벌새 : Security, Movie & Society

MBR 변조 또는 파일 암호화를 수행하는 Mischa 랜섬웨어 주의 (2016.5.13)

벌새::Analysis

2016년 3월에 공개된 PETYA 랜섬웨어(Ransomware)는 Master Boot Record (MBR) 영역을 변조하여 정상적인 Windows 운영 체제 부팅을 방해하여 금전을 요구하였으며 실제 PC에 저장된 데이터 암호화는 진행하지 않는 형태였습니다.

 

그런데 최근 PETYA 랜섬웨어의 새로운 변종인 Mischa 랜섬웨어가 등장하였으며, 기존과 다르게 실행 시 관리자 권한으로 실행하지 않고 MBR 변조를 수행할 수 있도록 변경되었습니다.

 

특히 실행 후 사용자 계정 컨트롤(UAC) 알림창을 생성하여 예(Yes), 아니요(No) 선택에 따라 MBR 변조 또는 파일 암호화 행위가 추가된 것으로 확인되고 있습니다.

 

 

알려진 유포 방식은 기존의 PETYA 랜섬웨어와 동일하게 이메일에 포함된 링크를 클릭할 경우 이력서 관련 사진과 PDF 문서 아이콘으로 위장한 악성 EXE 파일이 다운로드됩니다.

 

특히 Windows 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 항목이 체크되어 .EXE 확장명이 표시되지 않는 문제로 PDF 문서로 착각을 하기 쉬우므로, 반드시 폴더 옵션에서 "알려진 파일 형식의 파일 확장명 숨기기" 항목의 체크를 해제하시고 사용하시기 바랍니다.

 

 

또한 사용자 계정 컨트롤(UAC) 설정을 알리지 않도록 변경한 환경에서는 PDF 문서로 착각하여 실행할 경우 관리자 권한 요구없이 자동으로 MBR 변조를 시도하므로 반드시 알림 기능을 켜시고 사용하시기 바랍니다.

 

사용자 계정 컨트롤(UAC) 알림 기능을 사용하는 환경에서는 악성 파일 실행 후 자동으로 MBR 변조 또는 파일 암호화 행위가 진행되지 않지만, 위와 같이 실행된 사용자 계정 컨트롤(UAC) 선택 메뉴에서 어떤 것을 선택하든 재앙이 시작됩니다.

 

1. 사용자 계정 컨트롤(UAC) : 예(Yes)

 

 

사용자가 사용자 계정 컨트롤(UAC) 항목에서 예(Yes), 아니요(No) 또는 닫기(X) 버튼을 클릭할 경우 "AhnLab V3, avast, AVG, Avira, BitDefender, BullGuard, CheckPoint, Comodo, ESET, F-Secure, G Data, K7 Computing, Kaspersky, Malwarebytes, McAfee, Microsoft Security Client, Norman, Panda, Quick Heal, Spybot - Search & Destroy, Norton, Vipre, Trend Micro" 안티바이러스(AntiVirus) 제품에 대한 검색을 통해 백신 무력화 행위를 수행합니다.

 

생성된 사용자 계정 컨트롤(UAC) 선택에서 "예(Yes)"를 실행한 경우 MBR 영역에 악의적인 코드 쓰기 행위가 이루어지며, 테스트 상에서는 AppCheck Pro 안티랜섬웨어 제품에서 제공하는 MBR 보호 기능을 통해 Mischa 랜섬웨어 행위를 차단하는 것을 확인할 수 있었습니다.

 

 

만약 정상적으로 MBR 변조가 이루어진 경우에는 자동으로 PC 오류를 발생시켜 Windows 재부팅을 진행합니다.

 

 

Windows 재부팅 단계에서는 가짜 CHKDSK 검사 화면을 표시하여 파일 시스템에 문제가 있는 것처럼 사용자를 속입니다.

 

 

가짜 CHKDSK 검사 단계가 완료된 후에는 아스키(ASCII) 코드를 이용하여 녹색 해골 모양을 생성하여 키(Key)를 클릭하도록 안내합니다.

 

 

최종 단계에서는 "You became victim of the PETYA RANSOMWARE!" 메시지를 통해 Tor Browser를 이용하여 특정 사이트에 접속하여 개인용 복호화 코드를 입력하도록 안내하고 있습니다.

 

 

결제 페이지에서는 특정 주소로 1.97360000 비트코인(Bitcoins)을 요구하고 있으며, 파트너 모집을 위한 Ransomware-as-a-Service (RaaS) 안내 메일 주소와 트위터(Twitter) 계정까지 안내하고 있습니다.

 

2. 사용자 계정 컨트롤 : 아니요(No)

 

생성된 사용자 계정 컨트롤(UAC) 선택에서 "아니요(No)" 또는 "닫기(X)" 버튼을 선택한 경우 악성 파일은 자신이 직접 파일 암호화를 수행하지 않고 현재 실행 중인 프로세스 중 하나를 선택하여 메모리 영역에 버퍼(Buffer)를 씁니다.

 

이를 통해 하드 디스크, 외장 하드, 공유 네트워크 폴더 등에 존재하는 문서, 사진, 압축, 음악 등의 파일을 .(4자리 Random) 파일 확장명 패턴으로 암호화를 수행합니다.

 

특히 특정 위치에 존재하는 .EXE 실행 파일까지 암호화가 이루어질 수 있으며, 단지 해당 실행 파일이 실행 중인 경우에는 암호화가 이루어지지 않습니다.

 

파일 암호화가 진행된 후에는 YOUR_FILES_ARE_ENCRYPTED.HTML / YOUR_FILES_ARE_ENCRYPTED.TXT 2종의 랜섬웨어 결제 안내 파일을 생성합니다.

 

 

"You became victim of the MISCHA RANSOMWARE!" 메시지로 표시된 내용에서는 Tor Browser를 이용하여 특정 주소로 접속하여 개인용 복호화 코드를 입력하도록 안내하고 있습니다.

 

 

결제 사이트에서는 MBR 변조를 통한 요구 금액보다 다소 높은 1.99720000 Bitcoins을 특정 주소로 입금하도록 안내하고 있습니다.

 

이처럼 Mischa 랜섬웨어(Ransomware)는 MBR 변조 기능을 통해 Locker 기능을 수행하는 Petya 랜섬웨어와 주요 데이터 파일을 암호화하여 금전을 요구하는 전형적인 랜섬웨어 기능이 복합된 독특한 형태임을 알 수 있습니다.

 

Mischa 랜섬웨어의 전체적인 악의적인 행위와 AppCheck 안티랜섬웨어 제품을 통한 차단 모습을 영상을 통해 확인할 수 있으므로 피해를 당하지 않도록 주의하시기 바랍니다.