악성코드 파일 이름 : webmoney_hack_ver_2.6.exe(Virustotal : 42 / 49)

MD5 : b8c30d7b07de0985b8a121697fda085f


악성코드 진단 정보


AhnLab-V3 : Trojan/Win32.Mbro
BitDefender : Gen:Variant.Graftor.18388
Avast : Win32:MBRlock-B

Kaspersky : Trojan-Ransom.Win32.Mbro.rv

ViRobot : Trojan.Win32.A.Mbro.139264



감염 경로는 Hack으로 미루어, 그냥 특정 신뢰할 수 없거나 이상한 사이트에서 핵 관련 프로그램을 다운받아 감염이 되는 것으로 추정이 됩니다.



해당 악성코드에 감염시 파일 및 레지스트리 생성 및 변조 방식이 아닌 하드디스크의 윈도우 부팅영역이 담겨져 있는 MBR(Master Boot Record)가 변조가 되어, 오류창이 뜨면서 시스템이 종료가 되며, 부팅시 아래와 같은 내용이 뜨면서 'EnTeR c0d3' 값을 입력하라며 부팅 장애를 일으킵니다. 그냥 짜증나죠.




>> MBR 변조 랜섬웨어 치료 방법


해당 랜섬웨어의 경우 윈도우로 접근할 수 없다는 점을 고려하여, 어쩔 수 없이 Windows CD가 필요합니다. 참고로 안전모드가 안되냐고 얘기하는 분 있을 것 같은데 안전모드도 윈도우 부팅영역, MBR에 포함되다보니 애초에 F8 자체가 안 먹힙니다 ㅇㅅㅇ 그리고 본 치료 방법은 Windows 7 기준으로 이루어집니다.


1. 어떻게든 간에 Windows 7 CD를 구하셨으면 BIOS 상에서 부트 순서를 CD-Rom으로 변경해줍니다.(Windows PE는 가지고 있는 자체가 상당한 컴퓨터 지식을 가지고 있다고 보기에 생략) 근데 대부분 1순위가 CD-ROM, 2순위가 HDD 순으로 지정이 되어 있습니다. 1번의 경우 부트 1순위가 HDD로 지정되어 있는 분들에 한해서 유용한 팁입니다.^^




2. Windows 7 설치 창이 나오면 '지금 설치'를 누르지 마시고 컴퓨터 복구(R)로 들어가 주시기 바랍니다.



3. 시스템 복구 옵션에서 해당 운영체제를 확인하고 다음(N) > 을 눌러주시기 바랍니다.



4. 복구 도구 중에서 제일 아래에 있는 '명령 프롬프트'로 이동해주시기 바랍니다.




5. 명령어로 bootsect /nt60 (운영체제 설치 드라이브): /mbr를 입력해줍니다. 대부분의 PC는 운영체제가 C드라이브에 설치되어 있기 때문에 bootsect /nt60 c: /mbr를 입력해주시면 됩니다. 저 같은 경우에는 지금 가상운영체제에서 이용하고 있기 때문에 d: /mbr로 입력하였습니다. 이 점 유의해주시기 바랍니다. 





6. 'Bootcode was successfully updated on all targeted volumes' 가 뜨면 cmd.exe 창을 꺼준 뒤 아까 복구 도구에서 '다시 시작'을 눌러주시기 바랍니다. 


7. 정상적으로 바탕화면이 돌아왔으면 백신으로 혹시나 있을 악성코드 찌꺼기들을 진단/치료 실시해주시기 바랍니다.




>> MBR 변조 랜섬웨어 대표적인 예방 방법 3가지



1. 이상한 사이트 들어가지 마세요. ex) 핵 관련 버그 프로그램 다운 사이트, Se    19 사이트 ㅇㅅㅇ


2. Windows Update, Adobe Flash Player, Java 등을 항상 최신으로 업데이트해주시기 바랍니다.


3. 백신은 항상 실시간 감시 유지해주시고 최신 버젼으로 주기적으로 업데이트 실시해주시기 바랍니다.

Posted by Ec0nomist