ViRobot

하우리샵 바로가기

보안이슈 분석

파일암호화에 부팅도 불가능하게 하는 레드부트(RedBoot) 랜섬웨어 감염 주의
등록일 : 2017.09.27

□ 개요

최근 파일암호화에 부팅잠금 기능까지 더해진 랜섬웨어가 발견되어 국내 사용자들의 각별한 주의가 요구된다.

 

□ 내용

최근 발견된 이 랜섬웨어는 사용자 PC의 파일들을 암호화할 뿐만 아니라, PC 부팅에 참조되는 MBR(Master Boot Record) 영역을 boot.bin 파일로 덮어씌워 재부팅 시 윈도우 접근을 불가하도록 한다. 감염 된 사용자 시스템은 복구가 불가능하다.

  

레드부트 랜섬웨어는 감염 시 특정 경로에 [그림 1]과 같은 5개의 파일을 생성한다.

▷ 파일 생성 경로 : C:\Users\사용자PC\[랜덤8글자]

 

 

[그림 1] 생성된 5개의 파일 

 

레드부트 랜섬웨어는 사용자PC명을 기반으로 파일암호화 키를 만들고, 각 파일들을 특정경로에 생성한다. 

아래 그림은 각 5개 파일의 역할과 동작 과정을 나타낸 것이다. 


 

[그림 2] 각 파일의 동작과정 도식화 

 

-  boot.asm : 부팅 시 감염 화면 변조 파일(boot.bin)을 생성하기 위한 어셈블리 파일

assembly.exe : boot.asm 파일을 boot.bin 파일명으로 컴파일

-  overwrite.exe : 생성된 boot.bin 파일을 부팅의 주요 영역인 MBR(Master Boot Record)영역에 덮어씌움

     -  main.exe : 본 랜섬웨어의 자가복제 파일

-  protect.exe : Taskmgr, ProcessHacker 프로세스의 실행을 차단

 

assembler.exe 파일은 nasm.exe라는 정상프로그램에서 파일명만 바꾼 것으로, 어셈블리어 파일을 컴파일해주는 프로그램이다. 해당 파일을 이용해 boot.asm 파일을 컴파일한다.

 

 

[그림 3] assembler.exe의 본 파일명(nasm) 

 

 

[그림 4] boot.asm 파일의 내용 중 일부 

 

컴파일을 수행한 assembly.exe 파일은 삭제되고, overwrite.exe 파일을 이용해 부팅 시 필요한 MBR(Master Boot Record) 영역을 boot.bin 파일로 덮어씌운다.

 

[그림 5] 컴파일되어 생성된 boot.bin 파일 


레트부트 랜섬웨어는 protect.exe 파일을 실행시킨 후, AES256 암호화 방식으로 파일암호화 작업을 진행한다.

protect.exe는 Taskmgr, ProcessHacker 프로세스의 실행을 차단한다.


 

[그림 6] 파일암호화 후 확장자명이 .locked로 변경된 모습 

 

 

[그림 7] 암호화 전, 후 데이터 

 

암호화 행위가 종료되면, 강제 재부팅을 통해 [그림 8]과 같이 감염 사실을 사용자에게 알린다.

 

 

[그림 8] 재부팅 후 감염 화면 

 

레드부트 랜섬웨어는 일반적인 랜섬웨어와 달리 파일암호화나 부팅잠금의 두 가지 행위를 동시에 하기 때문에, 이전보다 좀 더 진화되었다. 앞으로 국내에 피해 사례가 나타날 것으로 보인다.


 

바이로봇 업데이트 내역

Trojan.Win32.Z.Agent 외 다수

 

 

 

※ 랜섬웨어 감염 예방방법 : http://www.hauri.co.kr/Ransomware/prevention.html

 

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담