하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

MBR을 파괴하는 랜섬웨어 감염 주의
등록일 :
2018.03.30

□ 개요

최근 MBR(Master Boot Record)영역을 조작하여 부팅을 불가능하게 만들고 300달러 상당의 비트코인을 요구하는 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용

해당 랜섬웨어는 실행하면 컴퓨터가 자동으로 종료된다. 그리고 다음과 같은 화면이 나타난다.



[그림 1] 감염 화면


300달러 상당의 비트코인을 주면 파일을 복구할 수 있으며, 누구도 복호화 서비스를 이용하지 않고는 파일을 복구 할 수 없다는 내용의 경고의 메시지와 지갑주소가 함께 나타난다.



[그림 2] 감염 시 사용자의 MBR 영역에 쓰이는 데이터


해당 악성코드는 실행 시 사용자 PCPHYSICALDRIVE0의 핸들을 구한다. 이는 보통 물리디스크0이 기본 디스크로 잡혀있으며 가장 앞부분 512bytMBR영역이기 때문이다. 이런 방식을 통해 MBR이 존재하는 영역을 확인한 후, 해당 영역에 512byte만큼 임의의 데이터를 덮어쓴다. 그 후에 WinExec 함수를 이용하여 명령어(shutdown -r -t 0)를 실행시키고 사용자의 PC는 재부팅되면서 MBR에 로드된 감염메세지가 뜬다.

 

 

[그림 3] 악성행위를 하는 코드 내용

 

상당히 간단한 동작 방식을 가지고 있으나 식별정보나 메일주소 등 기존의 랜섬웨어와 달리 지갑 주소 이외에 공격자에 대한 아무런 정보가 없다는 점에서 300달러 상당의 비트코인을 지불하였을 때 정상적으로 시스템을 복구할 수 있을지는 미지수이다. 시스템 복구를 위해 돈을 요구하는 부분은 기존의 랜섬웨어들과 동일하나 행위만 확인하였을 땐 사실상 MBR파괴형 악성코드에 더 가까운 형태를 가지고 있다. MBR영역이 파괴되면 부팅자체가 불가능하기 때문에 Windows 파일 시스템에 대한 지식이 적은 사용자들은 복구에 큰 어려움을 겪을 수 있으므로 각별한 주의가 필요하다.


바이로봇 업데이트 내역

Trojan.Win32.S.Ransom

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top