PC 정상적인 부팅 불가능하게 만드는 랜섬웨어 출현

2016-03-28 23:58
  • 카카오톡
  • 네이버 블로그
  • url
MBR 영역을 변조하는 ‘PETYA’ 랜섬웨어 등장
국내 감염사례 아직 없지만 유입 가능성 높아
충분히 복구 가능... 다른 랜섬웨어보다 위험도 낮아


[보안뉴스 권 준] 최근 들어 각종 랜섬웨어 변종이 기승을 부리는 가운데 지난 25일부터는 PC의 MBR(Master Boot Record) 영역을 변조하는 신종 랜섬웨어 ‘PETYA┖가 발견돼 비상이 걸렸다.


▲PETYA 랜섬웨어가 MBR 영역을 변조한 후 최초로 띄우는 해골 이미지 화면(자료: 알약 블로그)

보안전문업체 하우리는 한동안 잠잠했던 MBR 락커(Locker)가 랜섬웨어의 유행과 함께 다시 등장했다며, 해당 악성코드에 감염되면 PC의 정상적인 부팅이 불가능해져 PC를 아예 사용하지 못하게 된다고 밝혔다.

아직 국내 감염 사례는 발견되지 않았지만, 해외에서 활동한 랜섬웨어들이 빠른 시일 내에 국내로 유입되는 경우가 많았기에 사용자들의 주의가 필요하다는 것.

알약 블로그 측도 MBR(Master Boot Record) 영역을 변조해 아스키코드로 제작한 해골화면을 띄우고, 랜섬웨어에 감염됐다는 랜섬메시지를 띄우는 ‘PETYA’ 랜섬웨어가 발견됐다며 각별한 주의를 당부했다.

이번에 발견된 ‘PETYA’ 랜섬웨어 파일을 암호화 대상으로 삼는 기존의 랜섬웨어들과는 달리 MBR 영역의 코드를 변조해 정상적으로 부팅이 불가능한 것으로 알려졌다. 하지만 원본 MBR 코드를 간단한 인코딩을 통해 PC내에 저장하고 있어 실질적으로 입금을 하지 않더라도 충분히 복구가 가능하므로 다른 랜섬웨어보다는 위험도가 낮다는 게 하우리 측의 설명이다.

또한, 해당 랜섬웨어는 주로 이메일 첨부파일을 통해 드롭박스를 경유해서 유입되는 형태를 띄고 있는 것으로 분석됐으며, 일단 감염되면 MBR 영역이 변조되기 때문에 재부팅 이후에도 정상적으로 윈도우OS 부팅이 불가능한 것으로 알려졌다. 감염되면 몇분 이내로 시스템이 강제 재부팅된다.

알약 블로그에 따르면 MBR 영역을 변조한 후 최초로 해골 이미지가 뜬 이후, 감염된 PC의 사용자가 아무키나 입력하면 아래의 랜섬메시지가 뜨게 된다.


▲PETYA 랜섬웨어가 띄우는 랜섬메시지(자료: 알약 블로그)

랜섬메시지에서는 토르 브라우저를 이용한 특정 URL접속을 유도하는 데, 해당 주소로 실제 접근하게 되면 먼저 캡챠코드 인증 단계를 거친 후 복호화키 입력을 유도하는 것으로 알려졌다. 현재 영어, 러시아어, 독일어, 스페인어, 프랑스어, 포르투칼어, 이탈리아어, 폴란드어, 터키어, 네덜란드어 등 10개국 언어로 메시지를 띄우고 있는 상황이다.

앞서도 언급했듯 ‘PETYA’ 랜섬웨어는 실제로 강력한 암호화 방식을 사용하기보단 간단한 연산만으로 원본 코드를 인코딩하고 있으며, 이 데이터는 MBR의 특정 영역에 저장하고 있어 간단히 복구가 가능하다는 게 보안전문가들의 분석이다. 하지만 정상적으로 부팅이 되지 않아 치료에 어려움을 겪을 수 있으므로 애초에 감염되지 않도록 예방에 만전을 기해야 할 것으로 보인다. 해당 랜섬웨어는 현재 바이로봇과 알약 등의 백신에서 악성코드로 탐지되고 있다.

한편, 최근 국내에는 언론사와 오픈소스 OpenX 광고플랫폼을 통한 랜섬웨어 악성코드 유포가 기승을 부리는 것으로 드러났다.

이와 관련 하우리 최상명 CERT실장은 “현재 국내 웹사이트에서 랜섬웨어 악성코드가 유포되는 주요 원인은 취약한 워드프레스 플랫폼을 사용하거나 취약한 OpenX 광고 플랫폼을 사용하기 때문”이라며, “보안에 취약한 플랫폼을 사용하는 경우 랜섬웨어 등 악성코드 대응에 만전을 기해야 한다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


WorkST 2016.07.10 14:27

초기화면부터 무섭다...


burkin47 2016.05.20 11:50

http://www.boannews.com


burkin47 2016.05.20 11:50

http://www.boannews.com


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기