[악성코드 분석] MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 주의

 MBR 변조에 파일 암호화까지, PETYA-MISCHA 변종 랜섬웨어 분석 보고서 

---

 

 

1. 개요

지난 4월 시큐리티 대응센터에선 일반 랜섬웨어 다르게 컴퓨터 하드디스크의 MBR 코드를 변조시켜 정상부팅을 막는 PETYA 랜섬웨어를 분석한 바 있다. 독일어로 이력서란 파일명으로 위장하여 사용자의 PC를 감염을 유도한 PETYA 랜섬웨어, 이 랜섬웨어가 파일 암호화 동작까지 추가된 PETYA-MISCHA 변종으로 나타나 사용자의 주의가 요구된다.

참고 : PEYTA 랜섬웨어 보고서

                                                  

2. 분석 정보

2-1. 파일 정보

구분	내용
파일명	PDFBewerbungsmappe.exe
파일크기	899,584 Byte
진단명	Trojan/W32.Mikhail.899584
악성동작	혼합 랜섬웨어

 

2-2. 유포 경로

PETYA 랜섬웨어가 독일어로 된 이력서 파일로 위장하고 있듯이 이번 PETYA-MISCHA 변종 랜섬웨어도 PDFBewerbungsmappe(독일어로 지원서) 라는 파일명으로 사용자를 속이고 있다. 또한, 독일어를 알지 못해 이력서파일로 위장한 지 몰라도 파일 아이콘 모양이 PDF 아이콘 모양을 띄고있어, “알려진 파일 형식의 파일 확장명 숨기기” 옵션을 사용하고 있는 사용자는 일반 PDF 파일로 착각하여 실행 할 위험이 있다.

[그림 1] 확장명 숨기기 옵션을 사용하지 않을 경우 나타나는 파일 확장명(.exe)

2-3. 실행 과정

해당 악성코드의 특징은 실행 시 자신을 다른 계정으로 실행시킬 수 있도록 만들어 이 과정에서 메시지 창이 출력된다. 사용자 계정 컨트롤(UAC) 또는 다른 계정으로 실행하는 알림창에서 예(확인) 또는 아니오(취소)를 선택하면 선택에 따라 각기 다른 악성동작을 수행한다. ‘예’를 누를 경우 PETYA(MBR 변조) 동작이 진행되며, ‘아니오’를 누르면 MICHA(파일 암호화) 동작을 수행한다.

해당 알림창이 출력됐다고 해서 무조건 악성코드에 감염되는 것은 아니다. 본격적인 암호화 또는 MBR 변조 행위는 알림창에서 예, 아니오를 선택한 이후에 동작이 되므로 알림창이 출력된 상태에서 PC를 강제종료 하면 악성동작을 수행하지 않는다.

[그림 2] 다른 계정(권한)으로 악성코드를 실행하도록 만드는 코드

[그림 3] 윈도우7에서 악성코드 실행 시 출력되는 사용자 계정 컨트롤 창

[그림 4] 윈도우XP에서 악성코드 실행 시 출력되는 알림창

 

 

3. 악성 동작

3-1. 백신 탐지

PETYA-MISCHA 변종 랜섬웨어는 Program Files 경로의 백신이 설치된 폴더 속성을 조회한다. 대상이 되는 백신은 아래와 같다.

[그림 5] 조회 대상이 되는 백신명

 

[그림 6] 실제 악성코드에서 사용하는 문자열

 

3-2. 코드 인젝션

사용자 계정 컨트롤(UAC) 창에서 아니요 또는 종료 단추를 클릭하면 악성코드는 exeplorer.exe에 인젝션을 시도한다. 이후 다른 프로세스로 인젝션 된 코드에서 파일을 암호화를 수행한다.

[그림 7] 특정 프로세스에 인젝션을 시도하는 코드

3-3. 파일 암호화

인젝션 된 코드에서 각 종 파일을 암호화하며 각 폴더에 복호화 안내문 파일인 YOUR_FILES_ARE_ENCRYPTED.HTML 과 YOUR_FILES_ARE_ENCRYPTED.TXT 를 생성한다. 암호화 대상이 되는 파일의 확장자는 아래와 같으며, 암호화 된 파일은 4자리의 임의의 문자열로 된 확장자를 갖는다.

[그림 8] 암호화 대상 확장자 명

[그림 9] 사용자 파일과 지정된 확장자를 비교하는 코드

[그림 10] 파일 암호화 전과 후 비교

3-4. MBR 코드 변조

사용자 계정 컨트롤(UAC) 창에서 예(확인)를 선택 했을 시 기존의 PETYA 와 같은 방식으로 MBR 을 변조시킨다. MBR 변조가 완료 되면 강제로 PC를 종료 시키며 정상 부팅이 되지 않는다. 이후 PETYA와 동일한 방식으로 금전을 요구한다.

[그림 11] MBR 변조 후 금전 요구 안내화면

4. 결론

하나의 악성코드에 또 다른 악성동작이 추가 되어 새로운 변종이 나타나는 경우는 종종 있다. 이번 보고서에선 일반 악성코드가 아닌 최근 유행하고 있는 랜섬웨어에 악성동작이 추가되었다는 점에서 주의 깊게 볼 필요가 있다. 특히 파일 실행 후 출력되는 사용자 계정 컨트롤(UAC) 창에서 악성코드가 의심되어 ‘아니오’ 버튼을 누르더라도 PC의 파일이 암호화가 된다는 점에서, 사용자가 해당 악성코드를 자세히 알지 못하는 한 감염을 피하기 어렵다. 

해당 악성코드는 잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0과 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하며, nProtect Anti-Virus/Spyware V4.0 의 MBR 보호기능으로 실행을 방지할 수 있다.

(※랜섬웨어 치료는 악성코드를 치료한다는 의미로, 암호화된 대상을 복호화하는 의미는 아닙니다.)

[그림 12] nProtect Anti-Virus/Spyware V4.0 의 MBR 보호기능

 

[그림 13] nProtect Anti-Virus/Spyware V4.0 진단 및 치료 화면

 

[그림 14] nProtect Anti-Virus/Spyware V3.0 진단 및 치료 화면