랜섬웨어냐, 와이퍼냐? RedBoot, 파일들을 암호화 하고 파티션 테이블까지 수정해

Ransomware or Wiper? RedBoot Encrypts Files but also Modifies Partition Table

실행 될 경우 컴퓨터의 파일들을 암호화 시키고, 시스템 드라이브의 MBR을 바꿔치기 하고, 특정 방식으로 파티션 테이블을 수정하는 새로운 bootlocker 랜섬웨어가 발견 되었습니다. 이 랜섬웨어는 RedBoot이라 명명 되었습니다.

이 랜섬웨어는 MBR과 파티션 테이블을 복구시키기 위한 key를 입력하는 방법을 제공하지 않고 있어, 이 개발자가 부팅이 가능한 복호화를 제공하지 않는다 가정했을 때 이는 와이퍼 악성코드일 가능성이 높습니다.

RedBoot의 암호화 프로세스

컴파일 된 AutoIT 실행파일인 RedBoot 랜섬웨어가 실행 되면, 이는 런처가 실행 된 경로 내에 랜덤한 이름의 폴더 내에 파일 5개를 드랍합니다. 이 파일들은 boot.asm, assembler.exe, main.exe, overwrite.exe, protect.exe이며, 각각의 역할은 아래와 같습니다.

assembler.exe

nsam.exe 파일의 리네이밍 된 복사본으로써 boot.asm 어셈블리 파일을 MBR 파일인 boot.bin 파일로 컴파일 하는데 사용 됩니다.

boot.asm

이 파일은 새 마스터 부트 레코드로 컴파일 될 어셈블리 파일입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ransomware-or-wiper-redboot-encrypts-files-but-also-modifies-partition-table/ >

boot.bin

boot.asm 파일이 assembly.exe로부터 컴파일 되면 생성 되는 파일입니다.

overwrite.exe

이 프로그램은 기존의 마스터 부트 레코드(MBR)을 새로이 컴파일 된 boot.bin으로 덮어쓰기 하는 역할을 합니다.

main.exe

컴퓨터의 파일들을 암호화하는 사용자 모드 암호화 프로그램입니다.

protect.exe

다양한 프로그램들이 실행 되는 것을 막고, 종료시키는 역할을 합니다. 여기에는 작업 관리자 및 프로세스해커가 포함 됩니다.

파일의 압축이 풀리면 메인 런처가 아래의 명령어를 실행해 boot.asm 파일을 boot.bin 파일로 컴파일합니다.

"[Downloaded_Folder]\70281251\assembler.exe" -f bin 

"[Downloaded_Folder]\70281251\boot.asm" -o 

"[Downloaded_Folder]\70281251\boot.bin"

Boot.bin 파일이 컴파일 되면, 런처는 boot.asm과 overwrite.exe 파일들을 컴퓨터에서 삭제합니다. 이후 아래의 명령어를 사용해 overwrite.exe 프로그램을 사용해 컴퓨터의 기존 MBR을 boot.bin으로 덮어쓰기 합니다.

"[Downloaded_Folder]\70945836\overwrite.exe" 

"[Downloaded_Folder]\70945836\boot.bin"

런처는 이제 main.exe 프로그램을 시작해 컴퓨터에서 암호화할 파일들을 찾습니다. 이 main.exe 프로그램은 감염을 분석하거나 중단시키는데 사용될 프로그램들을 차단하기 위해 protect.exe 프로그램을 실행합니다.

Main.exe는 실행파일, dll, 일반 데이터 파일들을 암호화 후 .locked 확장명을 붙입니다.

<Redboot의 랜섬 스크린>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ransomware-or-wiper-redboot-encrypts-files-but-also-modifies-partition-table/ >

이 랜섬 스크린은 피해자에게 지불할 방법을 알기 위해 redboot@memeware.net으로 ID key를 보내라고 지시합니다.

이 랜섬웨어는 새로이 발견 되었으며, 여전히 연구되고 있는 중이지만 지금까지 확인한 바로는 희생양이 돈을 지불한다고 하더라도 얻을 수 있는 것은 없는 것으로 보입니다.

파일이 암호화 되고 MBR이 덮어쓰기 되는 것 외에도, 이 랜섬웨어는 별다른 복구 방법 없이 파티션 테이블을 수정하기 때문입니다.

이는 피해자들이 개발자들에게 연락해 돈을 지불한다고 해도 하드 드라이브가 복구될 수 없음을 의미합니다. 이 부분에 대해서는 추가적인 연구를 진행할 예정입니다.

버그가 포함 된 랜섬웨어인가, 아니면 와이퍼인가?

이 랜섬웨어는 표준 사용자 모드 암호화를 수행하는 동안 파티션 테이블을 수정함으로써 복호화에 사용 되는 key를 입력할 수 없기 때문에 랜섬웨어를 가장한 와이퍼라고 볼 수 있습니다. 하지만 개발자는 이 랜섬웨어를 개발하는데 AutoIT와 같은 스크립팅 언어를 사용했기 때문에, 이는 그저 버그가 많고 형편없이 코딩 된 랜섬웨어일 가능성도 있습니다.

확실히 말하기는 어렵지만, memeware.net을 확인한 후 연구원들은 이 멀웨어가 그저 버그가 많은 랜섬웨어인 것으로 추측하고 있습니다.

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.RedBoot로 탐지하고 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/ransomware-or-wiper-redboot-encrypts-files-but-also-modifies-partition-table/