코로나바이러스를 악용하며 윈도우를 잠그는 새로운 악성코드 발견

New Coronavirus-Themed Malware Locks You Out of Windows

코로나 바이러스 팬데믹 상황으로 인해 학교가 문을 닫아 일부 학생들이 악성코드를 작성 중인 것으로 보입니다. MBRLocker의 다양한 변종이 개발되었는데 이 중에는 코로나바이러스를 악용하는 사례도 있었습니다.

MBRLocker는 컴퓨터의 MBR(마스터 부트 레코드)를 덮어쓰기 해 부팅 시 OS가 시작되지 못하게 하고 랜섬노트나 기타 메시지를 표시하는 프로그램입니다.

Petya 및 GoldenEye와 같은 MBRLockers는 드라이브 내 파티션 정보를 포함한 테이블 또한 암호화 하기 때문에, 코드를 입력하거나 랜섬머니를 지불하는 것 이외에는 파일에 접근하거나 MBR을 재 빌드하는 것이 불가능합니다.

<Petya 랜섬웨어>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/>

코로나바이러스를 악용하는 첫 번째 MBRLocker

지난 주, MalwareHunterTeam은 “Coronavirus”라는 이름을 사용하는 악성코드의 인스톨러인 COVID-19.exe 파일을 발견했습니다.

<이미지 출처: https://twitter.com/malwrhunterteam/status/1242189645552783360>

이 악성코드가 설치되면 %Temp% 폴더 아래에 수 많은 파일을 추출한 다음 Coronavirus.bat 배치파일을 실행합니다. 이 배치파일은 추출한 파일을 C:\COVID-19 폴더로 이동시키고 로그인 시 다양한 프로그램이 시작되도록 구성한 후 윈도우를 재시작합니다.

<Coronavirus.bat 파일>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/>

윈도우가 재 시작된 후에는 코로나바이러스 사진과 “코로나바이러스가 당신의 PC를 감염시켰습니다!”라는 영어 메시지가 표시됩니다.

<첫 재부팅 후 표시되는 코로나바이러스 이미지>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/>

이를 분석한 SonicWall과 Avast 모두 부트 드라이브의 MBR을 다른 위치에 백업하고 커스텀 MBR로 덮어쓰기하는 또 다른 프로그램이 실행된다고 밝혔습니다.

<백업 후 덮어쓰기되는 MBR>

<이미지 출처: https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/>

Avast의 분석에 따르면, 다행히도 정상적으로 부팅이 가능하도록 원본 MBR을 복원할 수 있는 바이패스가 커스텀 MBR 코드에 추가되어 있는 것으로 나타났습니다. CTRL+ALT+ESC 키를 동시에 누르면 됩니다.

BleepingComputer는 추가 연구를 통해 동일한 개발자의 또 다른 변종인 ‘RedMist’를 발견했습니다. 이 악성프로그램이 설치되면 코로나바이러스 이미지를 보여주는 대신 스폰지밥의 ‘징징이’ 캐릭터(Squidward) 이미지를 보여주며 “징징이가 당신을 지켜보고 있습니다”라는 메시지를 영어로 표시합니다.

<Squidward/RedMist 버전>

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/>

이 변종 역시 MBR 원복을 위해 CTRL+ALT+ESC 키를 동시에 누르면 우회가 가능합니다.

이 악성코드에 감염되더라도 데이터가 삭제되거나 파티션 테이블이 파괴되는 일은 없습니다. 백업된 위치에서 MBR을 복원할 경우 윈도우를 다시 시작하고 데이터에 접근할 수 있습니다.

꾸준히 제작되는 MBRLocker

BleepingComputer는 지난 주 동안 공개된 수 많은 MBRLocker 변종을 발견했습니다. 이들은 서로 다른 메시지, 이미지, 농담을 사용하고 있었습니다.

MBRLocker 변종은 모두 유튜브와 Discord에 공개된 공개 툴로 만들어졌습니다. 추가 제작을 막기 위해 도구 이름은 공개하지 않습니다.

아래는 이 유틸리티를 사용하여 제작된 MBRLocker의 샘플 중 일부입니다.

<이미지 출처 : https://www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/>

BleepingComputer는 이 MBRLocker가 단순히 재미를 위해, 장난으로 만들어진 것으로 추측하고 있습니다.

악의적인 목적을 띠고 있는지는 알 수 없지만, 사용자는 다른 사람이 공유한 파일을 실행하기 전 각별한 주의를 기울이는 것이 좋습니다.

현재 알약에서는 해당 악성코드들에 대해  Trojan.Diskwriter.gen,  Trojan.Agent.Wacatac, Trojan.Agent.KillMBR로 탐지중에 있습니다. 

출처 :

https://www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/

https://securitynews.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/

https://decoded.avast.io/janrubin/coviper-locking-down-computers-during-lockdown/