상세 컨텐츠

본문 제목

MBR영역을 변조하는 ‘PETYA’ 랜섬웨어 등장

악성코드 분석 리포트

by 알약(Alyac) 2016. 3. 28. 11:18

본문


MBR영역을 변조하는 'PETYA' 랜섬웨어 등장


지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다.


주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.)



<그림1. PETYA 랜섬웨어가 MBR영역을 변조한 후 최초로 띄우는 해골 이미지 화면>


해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다.



<그림2. PETYA 랜섬웨어가 띄우는 랜섬메시지>


랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 되면 먼저 캡챠코드 인증 단계를 거친 후 복호화키 입력을 유도합니다. 현재 10개국 언어(영어, 러시아어, 독일어, 스페인어, 프랑스어, 포르투칼어, 이탈리아어, 폴란드어, 터키어, 네덜란드어)로 메시지를 띄우고 있는 상황입니다.


최초 감염후 랜섬웨어가 사용자 디스크를 스캔하는 듯 보여주는 chkdsk 메시지는 가짜로 추측되며(확인중), 2016년 3월 28일 현재까지는 아직 데이터가 암호화되지는 않는 것으로 확인되고 있습니다.


섹터0(MBR이 위치한 부분) 부터 섹터56번 사이만 조작을 하며 이는 PETYA 랜섬웨어가 해골이미지를 표시하거나 랜섬메시지를 뿌리기 위한 각종 리소스 데이터들을 저장하기 위한 것입니다.


섹터 64번부터 위치한 VBR(Volume Boot Record)은 조작을 하지 않기 때문에 만약 PETYA 랜섬웨어에 감염이 되었다고 해도, MBR복구를 진행하거나 또는 감염된 디스크 내부에 저장된 데이터를 별도 백업하는 방식으로 처리가 가능합니다. 


다른 매체를 이용하여 부팅을 시킨 후 명령 프롬프트 창을 띄워 diskpart만 이용할 수 있다면 해당 랜섬웨어에 감염되도 복구가 가능합니다.


복구명령 프롬프트 커맨드는 다음과 같습니다.


> diskpart

> select disk [OS가 설치된 디스크 번호] (ex. select disk 0)

> select partition [OS가 설치된 파티션 번호] (ex. select partition 1)

> active



해당 랜섬웨어는 아직까지는 2010년경에 유행했던 WinLock과 유사한 '스크린락' 랜섬웨어류로 보여지지만 추후 문서파일등의 데이터 암호화 기능이 추가될 가능성이 충분히 있으므로 주의가 필요합니다.


알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Petya로 탐지중이며, 변종 발생에 대한 모니터링을 진행하고 있습니다.



관련글 더보기

댓글 영역