□ 개요

최근 파일암호화에 부팅잠금 기능까지 더해진 랜섬웨어가 발견되어 국내 사용자들의 각별한 주의가 요구된다.

□ 내용

최근 발견된 이 랜섬웨어는 사용자 PC의 파일들을 암호화할 뿐만 아니라, PC 부팅에 참조되는 MBR(Master Boot Record) 영역을 boot.bin 파일로 덮어씌워 재부팅 시 윈도우 접근을 불가하도록 한다. 감염 된 사용자 시스템은 복구가 불가능하다.

레드부트 랜섬웨어는 감염 시 특정 경로에 [그림 1]과 같은 5개의 파일을 생성한다.

▷ 파일 생성 경로 : C:\Users\사용자PC명\[랜덤8글자]

[그림 1] 생성된 5개의 파일 

레드부트 랜섬웨어는 사용자PC명을 기반으로 파일암호화 키를 만들고, 각 파일들을 특정경로에 생성한다. 

아래 그림은 각 5개 파일의 역할과 동작 과정을 나타낸 것이다. 

[그림 2] 각 파일의 동작과정 도식화 

-  boot.asm : 부팅 시 감염 화면 변조 파일(boot.bin)을 생성하기 위한 어셈블리 파일

-  assembly.exe : boot.asm 파일을 boot.bin 파일명으로 컴파일

-  overwrite.exe : 생성된 boot.bin 파일을 부팅의 주요 영역인 MBR(Master Boot Record)영역에 덮어씌움

     -  main.exe : 본 랜섬웨어의 자가복제 파일

-  protect.exe : Taskmgr, ProcessHacker 프로세스의 실행을 차단

assembler.exe 파일은 nasm.exe라는 정상프로그램에서 파일명만 바꾼 것으로, 어셈블리어 파일을 컴파일해주는 프로그램이다. 해당 파일을 이용해 boot.asm 파일을 컴파일한다.

[그림 3] assembler.exe의 본 파일명(nasm) 

[그림 4] boot.asm 파일의 내용 중 일부 

컴파일을 수행한 assembly.exe 파일은 삭제되고, overwrite.exe 파일을 이용해 부팅 시 필요한 MBR(Master Boot Record) 영역을boot.bin 파일로 덮어씌운다.

[그림 5] 컴파일되어 생성된 boot.bin 파일 

레트부트 랜섬웨어는 protect.exe 파일을 실행시킨 후, AES256 암호화 방식으로 파일암호화 작업을 진행한다.

protect.exe는 Taskmgr, ProcessHacker 프로세스의 실행을 차단한다.

[그림 7] 암호화 전, 후 데이터 

[그림 8] 재부팅 후 감염 화면 

레드부트 랜섬웨어는 일반적인 랜섬웨어와 달리 파일암호화나 부팅잠금의 두 가지 행위를 동시에 하기 때문에, 이전보다 좀 더 진화되었다. 앞으로 국내에 피해 사례가 나타날 것으로 보인다.

https://www.hauri.co.kr/information/issue_view.html?intSeq=331&page=1&article_num=264