보안기업 맬웨어바이트(Malwarebytes) 연구진에 따르면, 산타나는 지난 3월 등장한 페트야(Petya) 랜섬웨어에 이어 등장한 두번째 MBR 감염형 랜섬웨어다. 산타나는 이탈리아어로 '사탄'(Satan)을 의미한다.
MBR 코드는 하드디스크 드라이브 첫번째 섹터에 저장되며, 디스크의 파티션 및 운영체제 부트 모두에 대한 정보를 담고 있다. MBR에 이상이 생기면 컴퓨터는 어떤 파티션에 운영체제가 포함돼 있는지, 어떻게 이를 구동할지 알 수 없게 된다.
연구진에 따르면 산타타가 페트야와 비슷하기는 하지만 중대한 차이점도 있다. 페트야의 경우 시스템의 마크터 파일 테이블(MFT)를 암호화한 커스텀 부드로더를 실행하기 위해 MBR을 교체한다.
반면 산타나는 MFT를 암호화하지 않는다. 그저 독자적인 코드를 내장한 MBR을 대체하고 당초 부트 레코드 버전을 암호화해 저장한다. 추후 피해자가 돈을 지불할 경우 복구하기 위한 구조로 풀이된다. 사용자가 산타나 감염 이후 PC를 재부팅하면 0.5비트코인(미화 340달러)를 요구하는 화면이 나타난다.
한편 산타나와 같은 MBR 감염 랜섬웨어는 컴퓨터 부팅 자체가 어렵기 때문에 일반 사용자가 랜섬웨어 복구톨로 데이터를 살리기가 한층 어려울 수 있다.
기술 지원 포럼 블리핑컴퓨터닷컴 설립자 로렌즈 에이브람스는 "애석하게도 현재로서는 무료로 산타타 감염 파일을 되살릴 방법이 없다"라고 블로그 포스트를 통해 전했다.
윈도우 복구 옵션을 통해 MBR을 복구할 가능성이 있기는 하다. 그러나 이를 위해서는 윈도우 커맨드 라인과 bootrec.exe(부트 리커버리) 도구를 이용할 수 있어야 한다.
맬웨어바이트 연구진은 "산타나 현 버전이 아직 광범위하게 확산되지 않았다"며, "또한 코드 완성도가 아직 부족하고 결함이 있어 확산 가능성이 높지 않았다"고 전했다. 그러나 이번 버전이 보다 고도화된 랜섬웨어의 근간으로 기능할 것이라고 경고했다. ciokr@idg.co.kr