세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[긴급] PC 부팅조차 안 되는 랜섬웨어 ‘SCARAB’ 출현...공격자도 ‘허탕’
  |  입력 : 2017-08-11 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
확장자 없는 부팅 파일 암호화하고 PC 셧다운시켜 먹통 만들어
피해자는 랜섬웨어 감염 여부 모르고, 공격자는 돈도 못 받아
10일 오전 국내 감염사례 발견...사용자 주의해야


[보안뉴스 원병철 기자] 확장자가 없는 파일도 암호화해 부팅 자체를 불가능하게 하는 랜섬웨어가 국내에서 발견됐다. 재미있는 것은 이렇게 되면 감염자가 랜섬웨어 감염 자체를 알 수 없게 될 뿐만 아니라 공격자의 몸값 지급 메시지인 랜섬노트도 볼 수 없어 제작자의 실수로 추정된다.

▲ 10일 오전 확인된 국내 SCARAB 랜섬웨어 감염 사례[자료=인터넷 캡처]


보안기업 하우리가 발견한 ‘SCARAB’ 랜섬웨어는 확장자가 존재하지 않는 경우에도 암호화를 수행하도록 설계됐다. 이 경우, 윈도우의 시스템 파일까지 암호화시키기 때문에 운영체제 부팅이 아예 불가능하다. SCARAB 랜섬웨어에 감염되면, PC 내 특정 확장자의 파일들을 암호화하고, 확장자를 ‘암호화된 파일명+해커의 전자 메일 주소.scarab’으로 변경한다. 또한, 변경된 파일이 존재하는 폴더에는 텍스트 파일을 생성해 사용자에게 위험 사실을 알리고 전자메일을 보낼 것을 유도한다.

▲ SCARAB 랜섬웨어의 감염 알림 메시지(랜섬노트)[자료=하우리]


SCARAB 랜섬웨어는 특정 확장자의 파일 뿐만 아니라 확장자가 없는 파일도 암호화 대상으로 하고 있기 때문에, ‘C:\’ 경로의 △ntldr △grldr △bootmgr 파일들 역시 암호화 대상이 된다. 해당 파일들은 마이크로소프트의 운영체제를 부팅하는 과정에서 필요한 파일들이기 때문에, 파일이 손상(암호화) 된 운영체제는 부팅이 불가능하다.​

▲ 변경된 확장자명[자료=하우리]


파일에 대한 암호화가 완료된 이후, 감염 알림 메시지를 출력함과 동시에 윈도우 운영체제를 종료시키는 명령(Shutdown)이 수행된다. 따라서 랜섬웨어에 감염될 경우, 감염 PC는 부팅이 불가능한 상태가 되기 때문에 랜섬웨어 감염 알림 메시지를 확인할 수도 없다.​

▲ 부팅실패 알림 문구[자료=하우리]


즉, SCARAB 랜섬웨어에 감염되면 암호화한 이후 자동으로 운영체제를 종료시키는데, 부팅 파일을 암호화해 버렸기 때문에 다시 부팅도 안 되는 사태가 벌어진다. 결국 사용자는 컴퓨터가 랜섬웨어에 감염됐는지조차 모르고 포맷할 수밖에 없게 되는 셈이다.

제작자의 꼼꼼한 성격(?) 때문에 사용자는 복구 시도조차 할 수 없게 되고, 공격자는 몸값을 받을 수 없는 사태를 불러온 SCARAB 랜섬웨어는 10일 오전 국내에 유입된 것으로 확인됐다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)