제2의 워너크라이 - 페트야 랜섬웨어
지난 5월에 이슈였던 워너크라이를 연상케하는 페트야(Petya) 랜섬웨어가 전세계를 공격했습니다.
새로운 랜섬웨어 변종인 페트야 랜섬웨어는 워너크라이와 유사하지만
파일 암호화뿐 아니라 부팅이 불가능하도록하여 컴퓨터가 먹통이 되는점에서 더 큰 피해가 발생합니다.
현재 알려진 초기 정보에 의하면 페트야 랜섬웨어 변종은
지난달 발생한 워너크라이 공격에 사용된 이터널블루(EternalBlue) 익스플로잇을 통해
확산되고 있는것으로 추정된다고합니다.
이터널블루란 미국국가안보국NSA가 윈도우 취약점을 활용해 만든 해킹도구입니다.
마이크로소프트(MS)는 이미 지난 3월
이 공격코드로 악용되는 윈도 SMB 취약점을 패치한 업데이트(MS17-010)를 배포했습니다.
평소 꾸준히 OS 업데이트와 패치를 설치하고 있었거나,
지난달 워너크라이 확산 초기 예방차원에서
윈도 운영체제(OS) 해당 업데이트를 내려받아 설치한 환경은 이미 예방이 되었다고 할 수 있습니다.
다만 SMB 취약점 패치만으로는 충분하지 않은것 같습니다.
페트야가 갖춘 확산 능력은 워너크라이보다 더 다양하기 때문입니다.
인도 사이버보안 전문사이트 '더해커뉴스'에 따르면
SMB 취약점을 비롯한 여러 보안 업데이트가 적용된 윈도 시스템도 페트야 랜섬웨어 감염 피해를 입었다고합니다.
이 악성코드가 타 시스템을 감염시킬 때 SMB 취약점뿐아니라
'WMIC' 및 'PSexec'라는 윈도 시스템 내장 관리툴도 사용하기 때문이라고 합니다.
감염예방을 위해 WMI이라는 시스템 관리 서비스를 중단하여 WMIC를 통함 감염경로를 차단할수 있을것 같습니다.
MS는 개발자 네트워크(MSDN) 문서를 통해 WMI 서비스를 어떻게 중단할 수 있는지 안내하고 있습니다.
윈도 명령프롬프트를 띄우고 'net stop winmgmt'라는 명령을 실행하면 됩니다.
다만 이 경우 SMS에이전트호스트나 윈도 방화벽같은 WMI 서비스에 의존하는 다른 서비스도 정지됩니다.
위 방법은 다른 정상적인 윈도우 서비스가 영향받을듯해서 비추합니다.
다른방법으로는
c:\windows폴더에 perfc 또는 perfc.dat이라는 이름의 파일을 만들어 넣으면 된다고합니다.
관리자 권한으로 명령 프롬프트를 실행한 뒤 다음 3가지 명령을 입력하면됩니다.
첫째는 rem. > %windir%\perfc 입력 후 엔터.
둘째는 rem. > %windir%\perfc.dat 입력 후 엔터.
마지막으로 attrib +R %windir%\perfc.* 입력 후 엔터.
연구자들의 설명에 따르면 페트야 랜섬웨어는
감염 대상 시스템의 윈도 OS 경로안에 perfc라는 이름의 파일명이 존재할 경우
악성 행위를 중단하는 것으로 파악됐다고합니다.
시스템을 암호화하거나 다른 컴퓨터로 전파를 시도하지 않는다는 얘기다.
이런 이유에서 이 파일 생성 방법은 '로컬 킬스위치'라 불리고 있습니다.
하지만 현재는 페트야 랜섬웨어의 확산 초기인데다 위 방법을 우회하는 변종이 더 만들어질 수 있기 때문에
이상의 감염 예방법이 100% 효과를 보장한다고 장담할 수는 없다고합니다.
일반적인 랜섬웨어 대응방식대로, 애초에 감염 가능성을 염두에 두고 전 미리 주요 파일과 데이터를 정기적으로
백업하고 안전하게 보관해야 할 것 같습니다.
'# Security' 카테고리의 다른 글
[보안]apache log4j2 취약점(CVE-2021-44228) (0) | 2021.12.13 |
---|---|
[파워쉘]wmi 네임스페이스에 등록된 악성스크립트 삭제 (0) | 2019.08.22 |
[보안]알툴즈 개인 사용자 대상 랜섬쉴드 PC 기업용 무료 제공 (0) | 2017.05.19 |
[보안]SMB 취약점 랜섬웨어(WannaCry) 예방/방지 (0) | 2017.05.14 |
인*파크 해킹으로 인한 개인정보 유출건 (0) | 2016.08.04 |
안녕하세요. 이곳은 IT위주의 잡다한 정보를 올려두는 개인 블로그입니다.
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!