Black Basta 랜섬웨어는 악성코드 실행시 안전모드(Safe mode)로 자동 재부팅 후 동작하는 특징이 있습니다
윈도우 안전모드는 부팅에 필요한 최소한의 리소스로 부팅하는 방식으로 실행에 성공 한다면 거의 100% 확률로 파일 암호화를 진행 시킬수 있습니다
안전모드(네트워크 사용)로 재부팅을 위해 아래의 명령어를 사용 합니다
C:\Windows\system32\cmd.exe /c bcdedit /set safeboot network
C:\Windows\system32\cmd.exe /c C:\Windows\System32\bcdedit.exe /set safeboot network
C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\bcdedit.exe /set safeboot network
랜섬웨어 실행 방법으로 윈도우의 FAX 서비스 등록 값을 변조하여 악성코드가 실행 되도록 하여 안전모드(네트워크 사용)에서 동작 되도록 하고 있습니다
원래 FAX 서비스는 안전모드에서는 실행 되지 않습니다
안전모드로 재부팅 되기전에 아래의 그림처럼 바탕화면을 변경 합니다
또한 파일암호화 완료후 시스템 복원을 못하도록 볼륨 새도우 복사본을 삭제 합니다
이러한 작업이 완료 된후에 아래의 명령어를 통해 안전모드(네트워크 사용)로 재부팅 되록 합니다
"C:\Windows\System32\cmd.exe" /C shutdown -r -f -t 0
확장자 변경은 "문서.txt.basta" 형태로 변경 되며, 파일 아이콘도 변경 됩니다
결제 안내 파일은 "readme.txt" 파일이 각 폴더마다 생성 됩니다
이러한 방식의 랜섬웨어는 보안 프로그램의 탐지를 우화적으로 회피 할 목적으로 진행되는 것으로 보입니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다
