하드디스크의 부트레코드를 암호화하는 새로운 랜섬웨어 페트야 주의

2016.04.15 10:46새로운 소식/랜섬웨어 및 위협공지



새로운 랜섬웨어 페트야, 부트 레코드에 랜섬웨어 설치하고 하드 디스크를 암호화



사용자의 하드 디스크의 부팅 레코드를 암호화하여 PC 부팅을 불가능하게 만드는 새로운 랜섬웨어 페트야(Petya)가 발견되었습니다. 페이야 랜섬웨어 역시 이메일의 첨부파일로 배포되고 드롭박스를 통해 역시 전파되고 있어 주의가 필요합니다.



몇 주 전에  마스터 부트 레코드가 작동하지 안아서  피해자의 전체 시동 드라이브를 대상으로 점검해 보니 새로운 랜섬웨어가 부트 레코드를 암호화 사실을 발견하였습니다. 이 랜섬웨어는 마스터 부트 파일을 암호화하고 몸값 노트를 표시하는 것이 특징이었는데  해독 암호없이 감염된 컴퓨터가 부팅되지 않가 때문에 구동 디스크에있는 모든 파일에 액세스 할 수 없게되는 현상이 초래됩니다.


이는 마스터 부트 파일이 모든 파일의 이름, 크기 및 위치를 포함하고 있는 NTFS 볼륨에 파일이 있어서 부트 섹터에 랜섬웨어가 존재하는 특별한 형태의 랜섬웨어입니다. 이 랜섬웨어는 가짜 CHKDSK를 수행하여 디스크 마스터 파일의 테이블을 암호화 합니다.





바이러스토탈 분석 확인 : https://www.virustotal.com/en/file/019a6fda29af707476b2c58e5b6bbf306e8c248671c8f4dc7424e474018376a1/analysis/
(zip 파일, exe 파일, setup.dll 등)


작성 : 어베스트코리아 (http://www.avastkorea.com)