포스팅 내용

악성코드 분석 리포트

MBR영역을 변조하는 ‘PETYA’ 랜섬웨어 등장


MBR영역을 변조하는 'PETYA' 랜섬웨어 등장


지난 금요일(3/25)부터 MBR(Master Boot Record)영역을 변조하여 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염되었다는 랜섬메시지를 띄우는 'PETYA' 랜섬웨어가 발견되어 주의가 필요합니다.


주로 이메일 첨부파일을 통해 드롭박스를 경유하여 랜섬웨어가 유입되는 형태를 띄고 있으며, 일단 감염되면 MBR영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능합니다. (감염되면 몇분 이내로 시스템이 강제 재부팅됩니다.)



<그림1. PETYA 랜섬웨어가 MBR영역을 변조한 후 최초로 띄우는 해골 이미지 화면>


해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬 메시지가 뜨게 됩니다.



<그림2. PETYA 랜섬웨어가 띄우는 랜섬메시지>


랜섬메시지에서는 토르브라우저를 이용한 특정URL접속을 유도하는 데, 해당 주소로 실제 접근하게 되면 먼저 캡챠코드 인증 단계를 거친 후 복호화키 입력을 유도합니다. 현재 10개국 언어(영어, 러시아어, 독일어, 스페인어, 프랑스어, 포르투칼어, 이탈리아어, 폴란드어, 터키어, 네덜란드어)로 메시지를 띄우고 있는 상황입니다.


최초 감염후 랜섬웨어가 사용자 디스크를 스캔하는 듯 보여주는 chkdsk 메시지는 가짜로 추측되며(확인중), 2016년 3월 28일 현재까지는 아직 데이터가 암호화되지는 않는 것으로 확인되고 있습니다.


섹터0(MBR이 위치한 부분) 부터 섹터56번 사이만 조작을 하며 이는 PETYA 랜섬웨어가 해골이미지를 표시하거나 랜섬메시지를 뿌리기 위한 각종 리소스 데이터들을 저장하기 위한 것입니다.


섹터 64번부터 위치한 VBR(Volume Boot Record)은 조작을 하지 않기 때문에 만약 PETYA 랜섬웨어에 감염이 되었다고 해도, MBR복구를 진행하거나 또는 감염된 디스크 내부에 저장된 데이터를 별도 백업하는 방식으로 처리가 가능합니다. 


다른 매체를 이용하여 부팅을 시킨 후 명령 프롬프트 창을 띄워 diskpart만 이용할 수 있다면 해당 랜섬웨어에 감염되도 복구가 가능합니다.


복구명령 프롬프트 커맨드는 다음과 같습니다.


> diskpart

> select disk [OS가 설치된 디스크 번호] (ex. select disk 0)

> select partition [OS가 설치된 파티션 번호] (ex. select partition 1)

> active



해당 랜섬웨어는 아직까지는 2010년경에 유행했던 WinLock과 유사한 '스크린락' 랜섬웨어류로 보여지지만 추후 문서파일등의 데이터 암호화 기능이 추가될 가능성이 충분히 있으므로 주의가 필요합니다.


알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Petya로 탐지중이며, 변종 발생에 대한 모니터링을 진행하고 있습니다.



  1. 바이러스신고자 2016.03.28 11:36 신고  수정/삭제  댓글쓰기

    영어와 숫자가 같이 있는 악성코드 메일을 받았는데..
    어떻게 신고하나요?
    바이러스 토탈이란 사이트에 분석의뢰했는데... 알약에서는 감지못한다고 나옵니다

    • 알약(Alyac) 2016.03.28 12:33 신고  수정/삭제

      안녕하세요. 바이러스신고자님. 받으신 이메일 자체를 help@alyac.co.kr로 재전달해주시면 저희가 확인해보도록 하겠습니다. 감사합니다.

  2. 윤명근 2016.10.20 13:29 신고  수정/삭제  댓글쓰기

    영상 등 파일이 다 a719로바꼇는데 어떤악성코드인가여 ?

    • 알약(Alyac) 2016.10.20 13:42 신고  수정/삭제

      안녕하세요. 죄송하지만 말씀하신 내용만으로는 정확한 안내를 드리기가 어렵습니다. 알약 [신고하기]를 통해 상세 증상과 샘플 파일 등을 첨부하여 보내주시면, 저희가 상세히 분석 후 좀 더 정확한 안내를 드리도록 하겠습니다. 감사합니다.

  3. 포맷 2016.10.20 21:14 신고  수정/삭제  댓글쓰기

    petya 감염되면 살리는방법 없나요?

    • 알약(Alyac) 2016.10.21 09:03 신고  수정/삭제

      안녕하세요. 해당 랜섬웨어에 감염되어 암호화된 파일들을 복구할 수 있는 방법은 현재 없습니다. ㅠㅠ 관련하여 복호화툴이 개발될 경우, 알약 블로그를 통해 신속하게 전달 드리도록 하겠습니다.
      더불어 향후 랜섬웨어에 감염되어 또 한번의 피해가 발생하는 일이 없도록, 중요한 파일은 꼭 백업해주시길 부탁 드립니다. 자주 사용하시는 SW를 항상 최신 버전으로 업데이트하시는 것도 꼭 준수해주시기 바랍니다. 감사합니다.

  4. 포맷 2016.10.21 09:23 신고  수정/삭제  댓글쓰기

    Petya 감염되면 그래도 포맷은 할수있나요?

    • 알약(Alyac) 2016.10.21 09:46 신고  수정/삭제

      포맷은 가능하시나, 숙주 파일이 완전히 제거되었는지 확인 작업이 필요할 것 같습니다. 관련하여 알약 [신고하기]를 통해 상세 내용을 작성하여 신고해주시면, 좀 더 정확한 안내를 드리도록 하겠습니다. 감사합니다.

  5. 알약사용자 2016.11.29 20:25 신고  수정/삭제  댓글쓰기

    반갑습니다! 알약랜섬웨어 복호화툴을 다받았는데 테스트를 해보고싶어서 메일주소 남깁니다.
    (가상머신으로 실험할것입니다)
    sfwarrio@naver.com

    • 알약(Alyac) 2016.11.30 09:03 신고  수정/삭제

      안녕하세요. 어떤 테스트를 말씀하시는 것인지요? 혹시 랜섬웨어 테스트를 위한 샘플을 원하시는 것이라면, 보안 업체에서는 어떠한 목적이라도 개인이나 기관에 샘플을 제공해 드리고 있지 않습니다. 따라서 요청하신 부분은 제공해드리기 어려운 점 양해 부탁드립니다. 관련해서는 구글의 멀웨어 샘플 서치를 통해 검색해보실 수 있으니, 참고부탁드립니다. (https://cse.google.com/cse/home?cx=001439139068102559330:uruncpbgqm8) 감사합니다.

  6. 은혁 2017.01.01 01:46 신고  수정/삭제  댓글쓰기

    제가 랜섬웨어에 걸렸는데 형식은 다르지만 위에 있는 tor사이트에 들어가 http://p27dokhpz2n7nvgr.14zwws.top/149A-A774-5D6B-0502-D11A에 비트코인으로 기부하라고 합니다.
    혹시 이 방법으로 되는지 궁금하고 위에 있는 방법이 잘 이해가 안가서...더 자세히 설명해주실수있나요?

    • 알약(Alyac) 2017.01.02 09:53 신고  수정/삭제

      안녕하세요. tor 브라우저를 통해 접속 가능한 tor 사이트 주소의 경우, 저희가 정확하게 내용을 확인해드릴 수 없는 점 깊은 양해 부탁 드립니다. ㅠㅠ 더불어 해당 랜섬웨어와 관련하여 더 자세한 내용이 업데이트되면, 알약 블로그를 통해 신속하게 알려드리도록 하겠습니다. 큰 도움을 드리지 못해 죄송한 말씀 드립니다. 감사합니다.

  7. ㅂㅂㅂ 2017.06.22 01:10 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  8. 사용법 2017.07.03 22:07 신고  수정/삭제  댓글쓰기

    감염돼면 복호화툴을 어떻게 사용하나요

    • 알약(Alyac) 2017.07.04 09:19 신고  수정/삭제

      안녕하세요. 명령 프롬프트(cmd)를 실행시킨 후 포스팅에 언급된 복구명령 커맨드 명령어를 실행시켜주시면 됩니다. 단 최근에 새로 발견된 petya에는 적용되지 않으니 참고부탁드립니다. 감사합니다.

  9. 마인큐버 2017.12.26 00:55 신고  수정/삭제  댓글쓰기

    PETYA 랜섬웨어는 리눅스에서 Petya Key Decoder로 특수키를 찾아낼 수 있지 않나요?

티스토리 방명록 작성
name password homepage