PeTya 랜섬웨어 감염 MBR 복구
해당 포스트는 Start up 디스크 포렌식의 PeTya 랜섬웨어 감염 MBR 복구을 복구하는 내용의 실습입니다.Petya 랜섬웨어란 Petya 랜섬웨어는 유저가 메일을 통해 PDF파일이나 SFX(SoundFX) 파일로 위장한 실행파일을 다운로드한 후 UAC(User Account Control)를 우회하지 않고 실행된다. 강제 재부팅과 MBR영역이 변조되어 파일 접근을 할 수 없도록 한다. 그 이후 해커는 컴퓨터를 복구 시키는 값으로 비트코인을 요구한다. Petya 랜섬웨어는 MBR영역만 감염시키기 때문에 감염된 하드디스크를 다른 PC의 슬레이브 디스크로 연결하면 디스크에 저장된 파일을 확인 할 수 있다.해당 디스크를 열어보면 아래와 같은 화면이 나온다.해당 악성코드로 인해 변경된 MBR구조를 보면 ..
악성코드 감염 MBR 복구
해당 포스트는 Start up 디스크 포렌식의 악성코드 감염 MBR을 복구하는 내용의 실습입니다.3.20 악성코드는 MBR영역과 VBR , BR을 모두 특정 문자열로 덮어씌워 부팅이 불가능하도록 한 악성코드이다. 일단 해당 이미지 파일을 HxD로 열어보면 예약 영역이 나오게 된다. MBR구조가 오는 것이 아니라 예약 영역을 제외하고 보기 위해 FTK Imager를 열어 확인해보자.확인해보니 MBR 영역이 모두 HASTSTI. 이라는 문자열로 뒤덮인 것을 볼 수 있었다.이 문자열을 추가적으로 더 검색해보니 MBR영역 말고도 2곳에서 더 뒤덮인건 확인 할 수 있었다. 일단 먼저 MBR을 복구하기 위해서는 정상적인 OS가 필요하다.이것은 실습이기 때문에 정상적인 OS파일을 구해놨다.복구하려는 하드디스크는 OS..