MBR 변조하여 정상적인 부팅을 방해하는 크립토 랜섬웨어 PETYA 등장

게시일: 2016-03-29 l 작성자: Jasen Sumalapao (Trend Micro)

잠금된 파일을 인질삼아 사용자에게 돈을 요구하는 것을 뛰어넘는 사이버 공격이 등장했습니다. 새롭게 발견된 크립토 랜섬웨어는 감염과 동시에 블루스크린 현상이 발생하며, 시스템을 재부팅할 경우, 정상적인 윈도우 시스템이 아닌, 공격자가 심어놓은 몸값 요구 화면으로 연결됩니다. 컴퓨터를 실행시켰을 때, 윈도우 아이콘이 나타나는 것이 아니라, 해골과 뼈의 이미지가 있는 적백색 화면이 나타난다고 상상해보십시오.

그림 1. PETYA 해골 뼈 이미지

그림 1. PETYA 해골 뼈 이미지

이것이 “PETYA”라고 알려진 새로운 크립토 랜섬웨어의 수법입니다. (트렌드마이크로 발견, RANSOM_PETYA.A) 해당 멀웨어는 Master Boot Record (MBR) 영역을 변조하여 사용자들이 컴퓨터에 접근하지 못하도록 합니다. 주목할 만한 점은, 이러한 멀웨어가 공신력 있는 클라우드 저장 서비스를 통해 피해자들에게 전달된다는 것입니다. (이 경우, Dropbox를 통해 전달되고 있습니다)

멀웨어가 대중적이고 신뢰할만한 서비스를 남용하여 부당한 이득을 취하려는 것은 처음이 아니지만, 이번과 같이 크립토 랜섬웨어의 감염으로 이어지는 것은 처음입니다. 또한, 악성 파일의 전형적인 전달ㆍ감염 체인으로 여겨지는 이메일 첨부파일, 악성 사이트 호스트, 익스플로잇 킷 전달과 같은 방식에서 벗어난 새로운 형태입니다.

감염 경로

확인된 바에 의하면, PETYA 또한 이메일을 통해 전달됩니다. 기업에 취업하고자 하는 지원자로 위장하여, Dropbox저장소로 연결하는 하이퍼링크를 제공합니다. 해당 링크를 클릭하면 지원자의 이력서를 다운로드 하게 됩니다.

트렌드마이크로가 분석한 샘플을 살펴보면, 링크로 연결된 Dropbox 폴더에는 이력서처럼 보이는 자체 복원 실행파일과 지원자의 사진파일이 들어 있습니다. 해당 사진은 사진작가의 허가 없이 사용되는 스톡 이미지로 확인되었습니다.

그림 2. Dropbox 폴더의 컨텐츠

그림 2. Dropbox 폴더의 컨텐츠

물론, 다운로드 된 파일은 이력서가 아니며, 시스템에 Trojan을 심는 자체 복구 실행파일 입니다. 이렇게 심겨진 Trojan은 PETYA 랜섬웨어가 다운로드 (및 실행) 될 수 있도록, 모든 백신 프로그램을 무력화합니다.

감염 증상

PETYA가 실행되면 전체 하드드라이브의 MBR을 변조한 후 블루스크린(BSoD)이 발생합니다. 사용자가 PC를 재부팅하게 되면 변조된 MBR로 인해 정상적으로 윈도우가 실행되지 못하며, 공격자가 설정한 해골과 뼈 그림이 나타납니다. 해당 화면에서는 일정 금액의 비트코인을 지불하지 않으면 컴퓨터와 파일에 접근할 수 없다는 메시지가 전달됩니다.

중요한 것은, 이렇게 변조된 MBR은 안전 모드로의 재부팅을 불가능 하게 한다는 것입니다.

이후, 다른 크립토 랜섬웨어와 마찬가지로 요구 사항, TorProject 링크, 지불 페이지 연결 방법, 개별 복호화 코드를 피해자에게 제공합니다.

그림 3. PETYA 복호화 지불 설명

그림 3. PETYA 복호화 지불 설명

Tor 웹사이트는 전문적으로 디자인 되어 있습니다. 현재 요구하는 금액은 0.99 비트코인 또는 미화431달러이지만, 화면에 나타난 지불 마감기한을 지나게 되면 금액이 2배로 오르게 됩니다.

그림 4. PETYA 웹사이트

그림 4. PETYA 웹사이트

트렌드마이크로의 솔루션인 트렌드마이크로 맥시멈 시큐리티, 엔드포인트 및 사용자 보안 솔루션, Worry-Free 비즈니스 시큐리티 서비스 는 악성 파일과 이메일 메시지를 탐지 및 악성 URL을 차단하여 사용자와 기업을 안전하게 보호합니다.

관련 파일의 SHA1

  • 39B6D40906C7F7F080E6BEFA93324DDDADCBD9FA
  • B0C5FAB5D69AFCC7FD013FD7AEF20660BF0077C2
  • 755f2652638f87ab517c608a363c4aefb9dd6a5a

2016년 3월 28일, 12:30 A.M. PDT 업데이트:

트렌드마이크로는 위 사항을 Dropbox 측에 전달하였으며, Dropbox는 해당 파일 및 동일 파일을 저장한 링크를 삭제하였습니다. 아래는 Dropbox의 안내사항입니다.

당사는 Dropbox 플랫폼의 오남용을 매우 심각하게 생각하며, 위와 같은 사태를 모니터하고 방지하기 위한 전용 부서를 운영 중에 있습니다. PETYA 랜섬웨어 공격이 Dropbox 보안까지 침범하지 않았지만, 이러한 공격과 유사한 범죄 행위가 발생되는 것을 사전에 조치할 수 있도록 조사를 진행 중에 있습니다.

Dropbox의 신속한 대응에 감사를 표합니다.