RedBoot 랜섬웨어 - 파일 암호화와 함께 MBR변조 까지 진행

닉맨 2022.07.28 13:13:56

RedBoot 랜섬웨어는 파일 암호화는 물론 MBR변조 까지 진행하여 시스템 부팅을 못하게 하는 특징이 있습니다

 

RedBoot 랜섬웨어 파일이 실행되면 특정 폴더에 추가 적으로 아래의 파일이 생성되어 간계별로 실행 하게 됩니다

 

assembler.exe, boot.asm, boot.bin, main.exe, overwrite.exe, protect.exe

 

우선 protect.exe 파일이 실행되어 파일 암호화 과정에서 강제로 중지하지 못하도록 작업관리자와 Process Hacker 프로세스가 실행되어 있는 경우 강제 동료 시킵니다

 

다음으로 assembler.exe가 실행되어 MBR(Master Boot Record) 영역에 추가할 boot.bin 파일을 생성후 assembler.exe와 boot.asm 파일은 삭제 처리 됩니다

 

다음으로 overwrite.exe 파일이 실행되어 생성된 boot.bin 파일을 MBR 영역에 덮어쓰기를 합니다 

 

덮어쓰기된 boot.bin파일을 확인해보면 정상 boot.bin 파일이 아니라 변조된 파일로 바뀐것을 알 수 있습니다

 

마지막으로 main.exe 파일이 실행되어 다운로드, 라이브러리(동영상, 문서, 사진, 음악), 바탕화면에 있는 파일을 암호화 합니다

 

확장자 변경은 "문서.txt.locked" 형태로 변경 되며 암호화가 완료되면 윈도우를 재부팅 시켜 변조된 MBR에 의해 아래 그림 같은 메세지가 출력 됩니다

 

메세지에는 특정 메일주소로 사용자 ID 정보를 보내면 복구에 관련된 안내를 받을수 있다는 내용이 있습니다

 

백업웨어.png

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다