HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

공격자의 실수로 부팅을 불가능하게 하는 랜섬웨어 주의
등록일 :
2017.08.10

□ 개요

 랜섬웨어의 유포방식이 다양해 지면서, 새로운 방식의 랜섬웨어가 등장하였다. 해당 랜섬웨어는 기존 랜섬웨어와는 다르게 확장자가 존재하지 않는 경우에도 암호화를 수행하도록 설계되어있다.

 이 경우, 윈도우의 시스템 파일까지 암호화 시키기 때문에 운영체제의 부팅이 불가능하다. 따라서 감염자는 랜섬웨어의 감염여부를 알 수 없을 뿐만 아니라, 공격자의 지불 관련 메시지를 확인 할 수 없다. 이러한 부분은 공격자의 제작상 실수로 여겨진다.

 

□ 내용

 해당 랜섬웨어에 감염 시 PC내 특정 확장자의 파일들을 암호화 하고확장자를 “[암호화 된 파일 명+해커의 전자 메일 주소].scarab”로 변경한다또한 변경된 파일이 존재하는 폴더에는 텍스트 파일을 생성하여 사용자에게 위험 사실을 알리고 전자 메일을 보낼 것을 유도한다. 

 

 

[그림 1] 변경된 확장자명

 


[그림 2] 감염 알림 메시지

 

 해당 랜섬웨어는 특정 확장자의 파일 뿐만 아니라 확장자가 없는 파일도 암호화의 대상으로 하고 있기 때문에, "C:\" 경로의 "ntldr", "grldr", "bootmgr" 파일들 역시 암호화의 대상이 된다. 해당 파일들은 마이크로소프트의 운영체제를 부팅하는 과정에서 반드시 필요한 파일들이기 때문에, 파일이 손상(암호화) 된 운영체제는 부팅이 불가능하다.​

 

[그림 3부팅 관련 파일 암호화

 

 파일의 대한 암호화가 완료된 이후, 감염 알림 메시지를 출력함과 동시에 윈도우 운영체제를 종료시키는 명령(shutdown)이 수행된다. 따라서 랜섬웨어에 감염될 경우, 감염PC는 부팅이 불가능한 상태가 되기 때문에 랜섬웨어 감염 알림 메시지를 확인할 수 없다.​

 

[그림 4] 부팅실패 알림 문구

 

 

바이로봇 업데이트 내역

Trojan.Win32.Z.Agent.359424.DJ

 

※ 랜섬웨어 감염 예방방법 :http://www.hauri.co.kr/Ransomware/prevention.html

 


 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top