MBR을 파괴하는 랜섬웨어

최근 MBR(Master Boot Record)영역을 조작하여 부팅을 불가능하게 만들고 300달러 상당의 비트코인을 요구하는 랜섬웨어가 유포되고 있어 국내 사용자들의 각별한 주의가 요구된다.

 

 

해당 랜섬웨어는 실행하면 컴퓨터가 자동으로 종료된다. 그리고 다음과 같은 화면이 나타난다.

 

 

300달러 상당의 비트코인을 주면 파일을 복구할 수 있으며, 누구도 복호화 서비스를 이용하지 않고는 파일을 복구 할 수 없다는 내용의 경고의 메시지와 지갑주소가 함께 나타난다.

 

 

 

해당 악성코드는 실행 시 사용자 PC의 PHYSICALDRIVE0의 핸들을 구한다. 이는 보통 물리디스크0이 기본 디스크로 잡혀있으며 가장 앞부분 512byt가 MBR영역이기 때문이다. 이런 방식을 통해 MBR이 존재하는 영역을 확인한 후, 해당 영역에 512byte만큼 임의의 데이터를 덮어쓴다. 그 후에 WinExec 함수를 이용하여 명령어(shutdown -r -t 0)를 실행시키고 사용자의 PC는 재부팅되면서 MBR에 로드된 감염메세지가 뜬다.

 

 

상당히 간단한 동작 방식을 가지고 있으나 식별정보나 메일주소 등 기존의 랜섬웨어와 달리 지갑 주소 이외에 공격자에 대한 아무런 정보가 없다는 점에서 300달러 상당의 비트코인을 지불하였을 때 정상적으로 시스템을 복구할 수 있을지는 미지수이다. 시스템 복구를 위해 돈을 요구하는 부분은 기존의 랜섬웨어들과 동일하나 행위만 확인하였을 땐 사실상 MBR파괴형 악성코드에 더 가까운 형태를 가지고 있다. MBR영역이 파괴되면 부팅자체가 불가능하기 때문에 Windows 파일 시스템에 대한 지식이 적은 사용자들은 복구에 큰 어려움을 겪을 수 있으므로 각별한 주의가 필요하다.

 

 

바이로봇 업데이트 내역 : Trojan.Win32.S.Ransom