2020-07-15 14:35 (수)
MBR 변조해 정상적 부팅 방해하는 크립토 랜섬웨어 ‘PETYA’ 등장
상태바
MBR 변조해 정상적 부팅 방해하는 크립토 랜섬웨어 ‘PETYA’ 등장
  • 길민권
  • 승인 2016.03.31 17:19
이 기사를 공유합니다

감염과 동시에 블루스크린 현상 발생, 재부팅할 경우 몸값 요구 화면으로 연결
잠금된 파일을 인질삼아 사용자에게 돈을 요구하는 것을 뛰어넘는 사이버 공격이 등장했다. 새롭게 발견된 크립토 랜섬웨어는 감염과 동시에 블루스크린 현상이 발생하며, 시스템을 재부팅할 경우, 정상적인 윈도우 시스템이 아닌, 공격자가 심어놓은 몸값 요구 화면으로 연결된다. 컴퓨터를 실행시켰을 때, 윈도우 아이콘이 나타나는 것이 아니라, 해골과 뼈의 이미지가 있는 적백색 화면이 나타난다.


?PETYA 해골 뼈 이미지
 
이것이 “PETYA”라고 알려진 새로운 크립토 랜섬웨어의 수법이다. 해당 멀웨어는 Master Boot Record (MBR) 영역을 변조해 사용자들이 컴퓨터에 접근하지 못하도록 한다. 주목할 점은, 이러한 멀웨어가 공신력 있는 클라우드 저장 서비스를 통해 피해자들에게 전달된다는 것이다.
 
트렌드마이크로 관계자는 “멀웨어가 대중적이고 신뢰할만한 서비스를 남용해 부당한 이득을 취하려는 것은 처음이 아니지만, 이번과 같이 크립토 랜섬웨어의 감염으로 이어지는 것은 처음”이라며 “또한 악성 파일의 전형적인 전달ㆍ감염 체인으로 여겨지는 이메일 첨부파일, 악성 사이트 호스트, 익스플로잇 킷 전달과 같은 방식에서 벗어난 새로운 형태”라고 설명했다.
 
확인된 바에 의하면, PETYA 또한 이메일을 통해 전달된다. 기업에 취업하고자 하는 지원자로 위장해, 드롭박스(Dropbox)저장소로 연결하는 하이퍼링크를 제공한다. 해당 링크를 클릭하면 지원자의 이력서를 다운로드 하게 된다.
 
트렌드마이크로가 분석한 샘플을 살펴보면, 링크로 연결된 Dropbox 폴더에는 이력서처럼 보이는 자체 복원 실행파일과 지원자의 사진파일이 들어 있다. 해당 사진은 사진작가의 허가 없이 사용되는 스톡 이미지로 확인되었다.
 
물론, 다운로드 된 파일은 이력서가 아니며, 시스템에 Trojan을 심는 자체 복구 실행파일 이다. 이렇게 심겨진 Trojan은 PETYA 랜섬웨어가 다운로드 및 실행 될 수 있도록, 모든 백신 프로그램을 무력화한다.
 
PETYA가 실행되면 전체 하드드라이브의 MBR을 변조한 후 블루스크린(BSoD)이 발생한다. 사용자가 PC를 재부팅하게 되면 변조된 MBR로 인해 정상적으로 윈도우가 실행되지 못하며, 공격자가 설정한 해골과 뼈 그림이 나타난다. 해당 화면에서는 일정 금액의 비트코인을 지불하지 않으면 컴퓨터와 파일에 접근할 수 없다는 메시지가 전달된다.
 
중요한 것은, 이렇게 변조된 MBR은 안전 모드로의 재부팅을 불가능 하게 한다는 것이다.
 
이후, 다른 크립토 랜섬웨어와 마찬가지로 요구 사항, TorProject 링크, 지불 페이지 연결 방법, 개별 복호화 코드를 피해자에게 제공한다.


?PETYA 웹사이트
 
Tor 웹사이트는 전문적으로 디자인 되어 있다. 현재 요구하는 금액은 0.99 비트코인 또는 미화 431달러이지만, 화면에 나타난 지불 마감기한을 지나게 되면 금액이 2배로 오르게 된다.
 
트렌드마이크로는 이러한 사항을 Dropbox 측에 전달했으며, Dropbox는 해당 파일 및 동일 파일을 저장한 링크를 삭제했다.
 
회사 측은, Dropbox 플랫폼의 오남용을 매우 심각하게 생각하며, 위와 같은 사태를 모니터하고 방지하기 위한 전용 부서를 운영 중에 있다. PETYA 랜섬웨어 공격이 Dropbox 보안까지 침범하지 않았지만, 이러한 공격과 유사한 범죄 행위가 발생되는 것을 사전에 조치할 수 있도록 조사를 진행 중에 있다고 설명했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com