하드 드라이브 부트 레코드를 잠그는 HDDCryptor 랜섬웨어

하드 드라이브 부트 레코드를 잠그는 HDDCryptor 랜섬웨어

HDDCryptor Ransomware Locks Hard-Drive Boot Records

하드 드라이브의 MBR(마스터 부트 레코드)를 공격해 파일을 암호화 한 후, PC를 부팅할 수 없도록 하는 새로운 랜섬웨어가 발견되었습니다.

이는 HDDCryptor (또는 Mamba)로 명명되었으며, 2016년 1월부터 활동을 시작한 것으로 알려졌습니다. 관련하여 공개된 보고서에 따르면, 최근 HDDCryptor의 새로운 버전이 전 세계 사용자들에게 배포되고 있는 것으로 나타났습니다.

최근 새롭게 배포되고 있는 HDDCryptor를 처음 발견한 Morphus Labs의 보안 연구원인 Renato Marinho는 미국, 브라질, 인도 본부가 감염된 다국적 기업을 조사하던 중 HDDCryptor를 발견했습니다.

Marinho가 처음 기술적 분석 내용을 발표하고 며칠 후, Trend Micro에서도 비슷한 내용을 발표했습니다.

양 쪽의 보고서 모두에 따르면, HDDCryptor는 사용자가 악성 웹사이트에 접속하고 악성 파일들을 PC에 다운로드 하면서 감염이 시작됩니다. 이 파일들은 HDDCryptor에 감염된 파일이거나, 범죄자들이 감염된 컴퓨터에서 부팅에도 살아남을 수 있을 거라는 확신이 들었을 때 HDDCryptor를 배포하는 중간 단계의 악성코드입니다.

HDDCryptor의 페이로드는 다수의 바이너리들이 하나에 모여 있는 형태입니다. 큰 바이너리가 실행되면, 이는 사용자의 컴퓨터에 파일들을 드랍하고 이들을 특정 순서로 실행시킵니다. HDDCryptor는 먼저 네트워크 드라이브를 찾기 위해 로컬 네트워크를 스캔합니다. 이후 Network Password Recovery라는 무료 툴을 사용해 네트워크 공유 폴더의 크리덴셜을 검색 및 덤핑합니다.

이후 또다른 오픈소스 툴인 DiskCryptor를 사용해 하드 드라이브의 파티션에서 찾은 사용자의 파일들을 암호화 합니다. 그리고 이전 스캔 작업과 패스워드들을 통해 네트워크 드라이브에 연결하여 그 곳에 저장된 데이터들도 암호화합니다. 마지막으로, HDDCryptor는 MBR를 커스텀 부트 로더로 덮어쓰기하고, 컴퓨터를 재시작하여 아래의 화면이 보여지도록 합니다.

 

이 랜섬웨어 감염 화면은 피해자에게 랜섬웨어의 제작자들에게 이메일을 보내, 비트코인 주소를 받은 후 랜섬머니를 지불하라고 요구하는 화면입니다. 범죄자들은 현재 1 비트코인(~$610)을 요구하고 있습니다.

이메일을 통해 공유된 비트코인 주소 중 하나를 살펴본 결과, 지금까지 최소 4명의 사용자가 돈을 지불한 것으로 보입니다. 만약 범죄자들이 다수의 비트코인 주소를 사용한다면 피해자는 더 많을 것으로 추측되고 있습니다.

한편, 알약에서는 해당 랜섬웨어를 Trojan.Ransom.HDDCryptor로 탐지하고 있습니다.

출처 :

http://news.softpedia.com/news(/hddcryptor-ransomware-locks-hard-drive-boot-records-508427.shtml

http://blog.trendmicro.com/trendlabs-security-intelligence/bksod-by-ransomware-hddcryptor-uses-commercial-tools-to-encrypt-network-shares-and-lock-hdds/