□ 개요
최근 MBR(Master Boot Record)영역을 조작하여 부팅을 불가능하게 만들고 300달러 상당의 비트코인을 요구하는 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.
□ 내용
해당 랜섬웨어는 실행하면 컴퓨터가 자동으로 종료된다. 그리고 다음과 같은 화면이 나타난다.
[그림 1] 감염 화면
300달러 상당의 비트코인을 주면 파일을 복구할 수 있으며, 누구도 복호화 서비스를 이용하지 않고는 파일을 복구 할 수 없다는 내용의 경고의 메시지와 지갑주소가 함께 나타난다.
[그림 2] 감염 시 사용자의 MBR 영역에 쓰이는 데이터
해당 악성코드는 실행 시 사용자 PC의 PHYSICALDRIVE0의 핸들을 구한다. 이는 보통 물리디스크0이 기본 디스크로 잡혀있으며 가장 앞부분 512byt가 MBR영역이기 때문이다. 이런 방식을 통해 MBR이 존재하는 영역을 확인한 후, 해당 영역에 512byte만큼 임의의 데이터를 덮어쓴다. 그 후에 WinExec 함수를 이용하여 명령어(shutdown -r -t 0)를 실행시키고 사용자의 PC는 재부팅되면서 MBR에 로드된 감염메세지가 뜬다.
[그림 3] 악성행위를 하는 코드 내용
상당히 간단한 동작 방식을 가지고 있으나 식별정보나 메일주소 등 기존의 랜섬웨어와 달리 지갑 주소 이외에 공격자에 대한 아무런 정보가 없다는 점에서 300달러 상당의 비트코인을 지불하였을 때 정상적으로 시스템을 복구할 수 있을지는 미지수이다. 시스템 복구를 위해 돈을 요구하는 부분은 기존의 랜섬웨어들과 동일하나 행위만 확인하였을 땐 사실상 MBR파괴형 악성코드에 더 가까운 형태를 가지고 있다. MBR영역이 파괴되면 부팅자체가 불가능하기 때문에 Windows 파일 시스템에 대한 지식이 적은 사용자들은 복구에 큰 어려움을 겪을 수 있으므로 각별한 주의가 필요하다.
□ 바이로봇 업데이트 내역
Trojan.Win32.S.Ransom