Satana 랜섬웨어 소개

러시아어권에서 만들어졌다고 추정되는 Satana 랜섬웨어는 두 가지 기능을 가지고 있다. 우선 윈도우 마스터부트레코드(master boot record, MBR) 파일을 암호화시켜 운영체제 부팅을 차단해 버린다. 이와 비슷하게 MBR에 관여하는 트로이목마로 Petya 랜섬웨어가 잘 알려져 있다. Satana는 MBR에 자체 코드를 주입한다는 점에서는 Petya와 유사하지만 MBR 자체를 암호화한다는 점에서 마스타파일테이블(master file tablem MFT)을 암호화하는 Petya와 다르다. 또한 Petya가 컴퓨터 파일 암호화를 위해 Mischa라는 별도의 트로이목마를 동반하는 데 비해 Satana의 경우 이 작업도 자체적으로 수행할 수 있다.

MBR이란 하드드라이브의 일부분으로 다양한 디스크 파티션에서 사용되는 파일시스템 정보를 보관하며 어떤 파티션에 운영체제가 보관되는지에 대한 정보도 가지고 있다. MBR이 변질되거나 암호화될 경우 컴퓨터는 어떤 파티션에 운영체제가 들어 있는지를 알 수 없다. 운영체제를 찾을 수 없는 컴퓨터는 부팅되지 못한다. Satana와 같은 랜섬웨어의 배후세력은 이를 이용하여 랜섬웨어에 부팅차단 기능을 더했다. MBR을 날려 버리고 이를 금전지급요구로 대체한 다음 원래 MBR은 암호화시키고 다른 위치로 옮겨 버리는 것이다. Satana는 MBR 복호화 및 암호화된 파일에 대한 복호화키 제공의 대가로 0.5비트코인(약 340달러)을 요구한다. Satana 제작자에 따르면 금전이 지급되고 나면 운영체제 접근이 복구되고 이전 상태로 복원이 이루어진다고 한다.

Satana는 모든 드라이브 및 네트워크인스턴스를 검사하여 .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm 파일을 조사한 후 해당 파일을 암호화한다. 또한 이메일주소와 밑줄 3자를 파일이름 앞에 추가한다(예: test.jpg → Sarah_G@ausi.com___test.jpt). 피해자는 이 이메일주소로 메일을 보내 결제방법을 받고 결제 이후 복호화키를 받을 수 있다. 조사 결과 6종의 이메일주사가 확인됐다.

다행히도 Satana에 의한 차단은 부분적으로 피할 수 있으며 일정 조건 하에 MBR 복구가 가능하다. Windows Club 블로그에는 윈도우 운영체제 복구기능을 통해 MBR을 복구할 수 있는 방법이 나와 있다. 하지만 이는 명령프롬프트와 bootrec.exe 유틸리티 사용에 익숙한 사용자를 위한 방법이며 일반사용자가 시도하기에는 다소 어려운 부분이 있다. 다만 윈도우 부팅차단이 해제된다 해도 파일 암호화에 대해서는 아직 별도의 복호화방법이 없는 상태다.

현재 Satana는 배포된 지 얼마 지나지 않았으며 코드 자체에도 몇몇 약점이 있지만 시간이 지날수록 개선되어 아주 심각한 위협이 될 가능성이 높다.

<참고: 카스퍼스키 안티바이러스 상세정보>

Valeria Titova, Satana: Ransomware from hell, 7. 11. 2016.

https://usblog.kaspersky.com/satana-ransomware/7389/

번역: madfox

참고링크 

<유료안티바이러스 제품소개>