포스팅 내용

국내외 보안동향

부트 레코드를 암호화하여 PC 실행을 막는 Satana 랜섬웨어

부트 레코드를 암호화하여 PC 실행을 막는 Satana 랜섬웨어

Satana Ransomware Encrypts Your Boot Record and Prevents Your PC from Starting


사용자의 마스터 부트 레코드(MBR)를 망가뜨리는 Petya 랜섬웨어와 클래식 랜섬웨어를 결합한 새로운 형태의 Satana 랜섬웨어가 등장했습니다.


Satana 랜섬웨어는 다른 랜섬웨어 패밀리들이 사용하는 것과 동일한 방법으로 사용자의 파일을 암호화하며, 암호화시킨 파일 이름은 “email@domain.com___파일명.확장자”와 같이 변경합니다. 그리고 사용자 PC의 MBR 영역을 암호화시키며 자신의 것으로 대체 시켜버립니다. 이후 사용자가 컴퓨터를 부팅시키면 Satana의 MBR 부트 코드가 로드되며 Satana의 랜섬 메시지와 함께 정상적인 부팅이 불가하게 됩니다.


보안연구원은 오리지널 MBR을 복원하는 것은 가능할지 모르지만, 다른 암호화된 파일까지 복호화해 주는 것은 아니라고 밝혔습니다. 또한 MBR을 복구하려면 윈도우 커맨드라인 인터페이스를 통해 작업을 진행해야 하는데, 이 작업은 매우 복잡하여 소수의 사용자들만이 PC를 복구해낼 수 있을 것으로 보입니다.


파일 암호화에 사용된 알고리즘은 매우 강력한 알고리즘으로 브루트포싱 공격이 통하지 않으며, 사용자가 랜섬머니를 지불해야만 복호화할 수 있습니다. 그러나 공격자나 C&C 서버가 오프라인일 경우에는 랜섬머니를 지불한 후에도 파일을 복호화할 수 없을 수 있습니다.


보안연구원들은 해당 랜섬웨어는 현재 개발중인 버전으로 보입니다. 아직 버그가 많아 멀웨어 개발자들이 계속 코드를 수정하고 있는 것으로 추정된다고 밝혔습니다. 즉 이번에 발견된 버전이 Satana 랜섬웨어의 마지막 버전이 아닐지도 모릅니다.


현재 알약은 해당 랜섬웨어를 Trojan.Ransom.Satana로 탐지하고 있으며, 알약 랜섬웨어 차단기능으로 차단할 수 있습니다.




출처 :

http://news.softpedia.com/news/satana-ransomware-encrypts-your-boot-record-and-prevents-your-pc-from-starting-505933.shtml

https://blog.malwarebytes.com/threat-analysis/2016/06/satana-ransomware/

티스토리 방명록 작성
name password homepage