PC
가전
가전
PC
고정공지
(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.
놀이터 일간 추천 베스트 |
놀이터 일간 조회 베스트 |
보안 소식 파일암호화에 부팅도 불가능하게 하는 레드부트(RedBoot) 랜섬웨어 감염 주의
작성자: 티오피 조회 수: 289 PC모드
□ 개요
최근 파일암호화에 부팅잠금 기능까지 더해진 랜섬웨어가 발견되어 국내 사용자들의 각별한 주의가 요구된다.
□ 내용
최근 발견된 이 랜섬웨어는 사용자 PC의 파일들을 암호화할 뿐만 아니라, PC 부팅에 참조되는 MBR(Master Boot Record) 영역을 boot.bin 파일로 덮어씌워 재부팅 시 윈도우 접근을 불가하도록 한다. 감염 된 사용자 시스템은 복구가 불가능하다.
레드부트 랜섬웨어는 감염 시 특정 경로에 [그림 1]과 같은 5개의 파일을 생성한다.
▷ 파일 생성 경로 : C:\Users\사용자PC명\[랜덤8글자]
[그림 1] 생성된 5개의 파일
레드부트 랜섬웨어는 사용자PC명을 기반으로 파일암호화 키를 만들고, 각 파일들을 특정경로에 생성한다.
아래 그림은 각 5개 파일의 역할과 동작 과정을 나타낸 것이다.
[그림 2] 각 파일의 동작과정 도식화
- boot.asm : 부팅 시 감염 화면 변조 파일(boot.bin)을 생성하기 위한 어셈블리 파일
- assembly.exe : boot.asm 파일을 boot.bin 파일명으로 컴파일
- overwrite.exe : 생성된 boot.bin 파일을 부팅의 주요 영역인 MBR(Master Boot Record)영역에 덮어씌움
- main.exe : 본 랜섬웨어의 자가복제 파일
- protect.exe : Taskmgr, ProcessHacker 프로세스의 실행을 차단
assembler.exe 파일은 nasm.exe라는 정상프로그램에서 파일명만 바꾼 것으로, 어셈블리어 파일을 컴파일해주는 프로그램이다. 해당 파일을 이용해 boot.asm 파일을 컴파일한다.
[그림 3] assembler.exe의 본 파일명(nasm)
[그림 4] boot.asm 파일의 내용 중 일부
컴파일을 수행한 assembly.exe 파일은 삭제되고, overwrite.exe 파일을 이용해 부팅 시 필요한 MBR(Master Boot Record) 영역을boot.bin 파일로 덮어씌운다.
[그림 5] 컴파일되어 생성된 boot.bin 파일
레트부트 랜섬웨어는 protect.exe 파일을 실행시킨 후, AES256 암호화 방식으로 파일암호화 작업을 진행한다.
protect.exe는 Taskmgr, ProcessHacker 프로세스의 실행을 차단한다.
[그림 6] 파일암호화 후 확장자명이 .locked로 변경된 모습
[그림 7] 암호화 전, 후 데이터
암호화 행위가 종료되면, 강제 재부팅을 통해 [그림 8]과 같이 감염 사실을 사용자에게 알린다.
[그림 8] 재부팅 후 감염 화면
레드부트 랜섬웨어는 일반적인 랜섬웨어와 달리 파일암호화나 부팅잠금의 두 가지 행위를 동시에 하기 때문에, 이전보다 좀 더 진화되었다. 앞으로 국내에 피해 사례가 나타날 것으로 보인다.
https://www.hauri.co.kr/information/issue_view.html?intSeq=331&page=1&article_num=264
자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다
문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
진화하는 랜섬, 제자리걸음 보안.