MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어)- 변종 골든 아이 랜섬웨어(Goldeneye Ransomware)

Posted by Sakai
2017.06.29 16:06 보안

MBR 변조를 한 후 부팅을 방해하는 PETYA 랜섬웨어(패트야 랜섬웨어) 변종 골든 아이 랜섬웨어(Goldeneye Ransomware)
해당 랜섬웨어인 골든 아이 랜섬웨어(Goldeneye Ransomware)는 작년 3월쯤에 발견이 된 랜섬웨어 입니다. 일단 기본적으로 원본 버전인 랜섬웨어 인 PETYA 랜섬웨어하고 비슷한 것을 볼 수가 있습니다.
일단 원본 버전을 한번 보겠습니다. 일단 기본적으로 Master Boot Record (MBR)변조시도를 하고 변조가 성공했을 때는 컴퓨터가 정상적으로 부팅되지 않고 비트코인을 요구하는 특징을 가지고 있습니다.
기본적으로 독일에 있는 한 회사를 목표로 했고 이력서를 발송해서 드롭박스(Drop box)에 악의적으로 조작된 파일을 열게 되면 MBR영역을 덮어씌우고 블루스크린을 뿜어져 내게 하는 방법을 사용하고 있으며
 회사를 타켓으로 메일을 통해 이력서를 전송하여 Dropbox에 업로드된 파일을 내려받도록 유도하고 있으며, 파일을 사용자가 실행을 하게 되며 시스템에 저장된 파일은 암호화하지 않지만 하드 디스크 MBR 영역을 PETYA 랜섬웨어(패트야 랜섬웨어)가 가지고 있는 코드로 덮어쓰기 한 후 사용자 화면에서는 블루스크린(BSoD)이 발생합니다. 그리고 사용자가 무슨일이지 하고 컴퓨터를 다시 부팅을 하면 재부팅을 하는 과정에서 CHKDSK 검사 단계를 진행하게 되지만 하드디스크에 있는 NTFS 파일 시스템이 PETYA 랜섬웨어에 의해 암호화되어버려 Master File Table(MFT)를 읽을 수 없어서 사용자는 사실상 컴퓨터를 사용을 할수가 없게 됩니다.

그리고 CHKDSK 검사를 진행하고 진행이 완료되며 PETYA 랜섬웨어(패트야 랜섬웨어)에 의해서 MBR 영역에 삽입된 PETYA 랜섬웨어(패트야 랜섬웨어)코드를 통해 ASCII(아스키) 코드로 작성된 해골 모양이 반짝거리면서 사용자에게 키보드 키를 클릭하도록 유도를 하고 있습니다. 그리고 나서 You became victim of the PETYA RANSOMWARE!" 메시지를 통해 암호화가 진행되었고 하드디스크가 암호화되었음을 사용자에게 친절하게 알려주면 복원화를 위해서는 다른 컴퓨터에서 Tor Browser를 이용하여 특정 웹사이트 접속을 통해 제시된 비트코인을 주면 해당 암호화는 풀 수가 있다고 이야기합니다.
이게 원본 버전입니다.

여기서 조금의 변화를 준 것인 골든 아이 랜섬웨어(Goldeneye Ransomware)입니다.골든 아이 랜섬웨어(Goldeneye Ransomware)제목을 보면 영화 007시리즈는 시대는 냉전시대에서 새로운 무기가 개발되고 해당 무기는 핵무기를 대기권 밖에서 핵폭발을 일으켜서 이에 따라 발생하는 EMP를 활용해서 모든 전자장비를 파괴하는 무기 그러나 아군에게 중요한 무기가 도난을 당하게 되고 이무기를 훔쳐간 옛 파트너였던 006을 추적하기 위해서 러시아로 가면서 벌어지는 이야기를 다루고 있는 골든아이가 개인적으로 생각이 나더라고요.

일단 다시 돌아와서 해당 골든 아이 랜섬웨어(Goldeneye Ransomware)에 대해 알아보겠습니다. 해당 골든 아이 랜섬웨어(Goldeneye Ransomware)는 기본적으로 컴퓨터에서 설치된 파일등정에서 exe를 무작위로 검색하고 이름을 복사 한 다음 % APPDATA % 폴더에 복사한 이름으로 실행 파일을 저장하는 과정을 거칩니다. 그리고 CBC 모드에서 AES 암호화로 암호화를 진행합니다. 해당 키의 길이는 32바이트입니다.

암호화 과정에서 GoldenEye는 특정 파일 확장 명을 파일에 추가를 진행하게 되며 파일이 인코딩된 대상을 표시를 해주는 부분도 있습니다. 여기서 사용자 계정 컨트롤인 UAC가 보안 수준에 따라서 팝업이 나타나는 것이 달라집니다. 예를 들면 최고 단계를 사용하고 있으면 최고 보안 단계답게 팝업창이 대단히 많이 생성이 되기 때문에 일단 눈치라도 수가 있으면 보통이면 많이 나타나지 않기 때문에 눈치채는 것도 조금은 힘들 것입니다. 물론 사용자가 특별하게 프로그램 등을 했을 때 무의식적으로 눌러버리지만 않는다면 프로그램이 설치 등이 되지 않았는데 동작을 하면 의심받기 좋은 행동이죠. 그런데 문제는 해당 랜섬웨어는 여기서 네는 Petya를 실행하고 아니오 옵션은 Mischa를 가져옵니다. 한마디로 이러나저러나 감염을 시켜도록 유도를 하고 있습니다.
그리고 나서 해당 공격이 정상적으로 성공해서 파일들이 암호화에 성공하며 YOUR_FILES_ARE_ENCRYPTED.TXT라는 메시지를 볼 수가 있고 해당 메시지에서는 친절하게 당신이 어떻게 하면 암호화를 풀고 파일 복원을 하는 데 필요한 비트코인을 보내는 방법에 대해 친절하게 가르쳐 줄 것입니다.

즉 내용은 다음과 같습니다.
1. Tor 브라우저를 내려받으십시오. 도움이 필요하면 google에 "accession page"를 요청하십시오.
2. Tor 브라우저로 다음 페이지 중 하나를 방문하십시오 :
페이지 링크,페이지 링크
3. 개인 암호 해독 코드를 입력하십시오.
이미 키를 구매하였으면 아래에 입력하십시오.
볼 수가 있으면 암호화되는 파일들은 다음과 같습니다.

doc,docx,docm,odt,ods,odp,odf,odc,odm,odb,xlsm,xlsb,xlk,xls,xlsx
pps,ppt,pptm,pptx,pub,epub,pdf,jpg,jpegB,rtf,txt,frm,wdb,ldf,myi
vmx,xml,xsl,wps,cmf,vbs,accdb,cdr,svg,conf,cfg,config,wb2,msg,azw
azw1,azw3,azw4,lit,apnx,mobi,p12,p7b,p7c,pfx,pem,cer,key,der,mdb
htm,htm lclass,java,cs,asp,aspx,cgi,h,cpp,php,jsp,bak,dat,pst,eml
xps,sqllite,ql js,jar...
일단 랜섬웨어 같은 악성코드에 감염되는 것을 최소한 방법은 윈도우 자동 업데이트 사용, 백신프로그램 사용, 어도비 플래시 플레이어등 과 같은 프로그램들은 최신으로 유지하고 사용을 하는 것도 좋은 방법입니다.
그리고 최근에 유포되고 있는 PETYA 랜섬웨어(패트야 랜섬웨어)같은 경우에는 지난달에 문제가 된 워너 크라이의 SMB의 취약점을 악용하고 있습니다. SMB는 취약점을 해결하는 보안 업데이트와 그리고 해당 SMB를 수동으로 해제하는 방법에 대해 알아도 보았습니다. 즉 MS17-010 보안 업데이트에 포함이 돼 있는 보안 업데이트 입니다. 해당 PETYA 랜섬웨어(패트야 랜섬웨어)를 예방하는 방법은 간단합니다. 첫 번째 앞서 적은 것처럼 2017년3월 정기 보안 업데이트에 있었던 MS17-010 보안 업데이트를 설치를 한다. 이를 환경이 되지 않는다면 수동으로 SMB를 사용을 하지 않는다.

[보안] - Windows 10 버전 1607 build 14393.953 Cumulative update KB4013429(Windows 10 버전 1607 빌드 14393.953 정기 업데이트)

[보안] - Shadow Brokers의 Microsoft Windows OS Exploit 도구 취약점 대한 임시 조치 방법

두 번째 방법은 PETYA 랜섬웨어(패트야 랜섬웨어)같은 경우에는 WMI 서비스도 활용하고 있습니다. 해당 WMI 서비스를 중단시켜버리면 됩니다. 간단합니다. CMD를 관리자 권한으로 열고 나서 net stop winmgmt를 통해서 WMI 서비스를 중단시켜버리면 됩니다. 다만, 이렇게 되면 WMI 서비스를 사용하는 정상적인 프로그램들인 윈도우 방화벽 등과 같은 프로그램이 중지되기 때문에 조금은 문제가 될 것입니다.

[소프트웨어 소개/소프트웨어 팁] - 윈도우에서 관리자 권한으로 프로그램을 실행하는 방법

다음 방법은 perfc 또는 perfc.dat를 파일을 멋대로 만드는 방법입니다. 먼저 앞에서와 마차나 가지로 관리자 권한으로 CMD를 실행을 합니다.
그리고 나서 rem. > %windir%perfc,rem. > %windir%perfc.dat,attrib +R %windir%perfc.*를 차례로 입력을 해주면 됩니다. 이 방법으로도 정 불안하다고 하면 앞서 소개해 드린 앱체크, 안랩에서 제공을 하고 랜섬웨어 방어 프로그램, 아니면 보조 백신프로그램을 보안을 강화할 수가 있습니다. 하지만, 이런 프로그램의 힘을 발휘하려고 하면 기본적으로 매월 둘째 주 화요일 한국 시각 매월 둘째 주 수요일에 있는 윈도우 정기 보안 업데이트는 반드시 진행을 해주는 것이 안전하게 컴퓨터를 사용하는 방법의 하나일 것입니다.


신고

글 공유하기 및 아이허브 추천 코드

페이스북
카톡
트위터
네이버
밴드
카스


아이허브(iherb) 첫 구매시 5%할인 추천 코드 입력하면 할인적용 가능
아이허브(iherb)할인 코드:QMF730
iHerb Reward code:QMF730
이 댓글을 비밀 댓글로
  1. 뉴스 보니까 perfc.dat 를 생성시켜놓으면 그 종류의 랜섬웨어는 안걸린다고 하더라구요..
    요새 강원도로 출장을 일주일에 4번씩 가다보니.. 기운이 쭉 빠지네요;..
    • 헉~힘드시겠습니다.그래도 다른 악성코드에 감염이 되는것을 초소화 할려면 기본적으로 보안 업데이트는 반드시 필요하다고 생각이 됩니다.
  2. 조심해야할게 또 느네요.
    • 네~그런것 같습니다.즐거운 주말 보내세요.