문서 파일이 아니라 아예 PC나 노트북 자체를 암호화해 먹통으로 만드는 신종 랜섬웨어가 등장해 주의가 필요하다.
각종 컴퓨터 관련 기술지원서비스를 제공하고 있는 블리핑컴퓨터 소속 로렌스 에이브람스 보안연구원은 최근 자사 블로그를 통해 '페트야(Petya)'라고 불리는 신종 랜섬웨어가 등장해 독일 소재 회사의 인사팀을 타깃으로 삼아 공격을 수행한 사실을 탐지했다고 최근 밝혔다.(관련 블로그)
사이버범죄자들은 페트야를 뿌리기 위해 피싱 이메일을 썼다.
공격 대상에게 파일공유서비스인 드롭박스 링크가 첨부된 이메일을 보낸 뒤 해당 링크에서 파일을 다운로드해 실행하면 랜섬웨어가 작동되는 방식이다.
문제는 페트야가 PC, 노트북의 부팅영역까지 건드리면서 전체 시스템을 사용할 수 없게 만들어 버린다는 점이다.
문서파일만 암호화해 이를 풀어주는 대신 대가를 요구하는 기존 랜섬웨어와 다른 방식을 쓴 것이다.
이 랜섬웨어에 감염되면 컴퓨터의 마스터부트레코드(MBR) 영역이 악성 로더로 대체된 뒤에 강제로 재부팅을 시도한다. 그 뒤에는 본래 파일 오류를 점검하기위해 쓰이는 체크디스크(CHKSDK)를 위장한 프로그램을 실행해 하드디스크 내 마스터파일테이블(MFT)을 암호화 시킨다.
관련기사
- 랜섬웨어 '디지털 인질극' 무섭게 늘었다2016.04.01
- 랜섬웨어 진화, 리눅스도 노린다2016.04.01
- 한글판 랜섬웨어, 또 다시 유포 급증2016.04.01
- 한국형 랜섬웨어 대응책 A to Z2016.04.01
그 다음으로 익명 네트워크인 토르를 통해 특정 페이지에 접속해 가상화폐인 비트코인 0.9BTC(약 370달러) 비용을 지불하면 이를 풀어주겠다는 메시지를 띄운다.
미국 지디넷에 따르면 드롭박스측은 해당 악성링크를 삭제조치했으며, 드롭박스가 악용되지 않도록 추가적인 조사를 수행할 것이라고 밝혔다.
