페트야(Petya) 랜섬웨어 분석 백서 & 예방 백신 생성
페트야 변종 랜섬웨어 전 세계 확산, 감염 피해 확산에 따른 주의 권고
1. 최근 해외 기관, 기업 등에서 동시다발적인 랜섬웨어 감염 피해가 발생하여 주의 필요
■ 우크라이나, 프랑스, 러시아, 미국 등 세계 여러 나라에서 공공기관, 기업, 금융기관이 해당 랜섬웨어 공격을 받아 시스템 장애 등 피해가 속출
o 우크라이나의 보르시프리 국제공항, 중앙 은행 등이 페트야 변종 랜섬웨어의 공격
o 체르노빌 원자력 발전소 운행 시스템까지 공격 대상
o 이외에도 러시아 석유 회사 로즈네프트, 미국 피츠버그에 위치한 제약 회사 등 피해 사례가 확인
■ 공격자는 컴퓨터의 파일을 암호화 한 뒤 해독키를 제공하는 대가로 금전을 요구
2. 특징
▶ 워너크라이 랜섬웨어와 같이 SMB 취약점을 이용 : SMB v1 취약점을 타겟, Chimera, Rokku와 유사
※ 컴퓨터의 부팅관련 파일 및 이용자 파일을 암호화하여 장애를 유발
- Petya는 파일을 암호화하지 않음, NTFS 마스터 파일 테이블 (MFT)을 암호화
- 페트야 랜섬웨어에 감염되면 PC를 부팅하는 것조차 불가능
▶ 부팅을 시도하면 정상 윈도우 로고 대신 랜섬웨어 감염 사실과 300달러 상당의 비트코인을 요구하는 ‘랜섬노트’가 뜬다.
▶ 빠른 전염성
- 전염병처럼 퍼지는 네트워크 웜의 특성을 지님
- PC 1대가 감염되면 인터넷에 연결돼 있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도 암호화 과정에 결함을 이용, 역 설계하여 백신을 개발(암호 해독 키가 제공)
3. 페트야(Petya) 랜섬웨어 대응방안
▶ 뉴딜코리아 랜섬웨어 대응센터는 피해를 예방하기 위해 윈도우와 백신의 최신 버전 업데이트를 진행 해야.. (마이크로소프트의 보안 패치 MS17-010)
▶ TCP 포트 445 사용을 차단하고 관리자 그룹 액세스 권한 계정의 사용을 제한
▶ 중요 자료는 네트워크에서 분리된 저장장치에 별도저장하여 관리
▶ 윈도우 등 OS 및 사용 중인 프로그램의 최신 보안업데이트 적용
▶ 불필요한 공유폴더 연결 설정 해제
▶ 신뢰할 수 있는 백신 최신버전 설치 및 정기적으로 검사진행(시스템 정밀검사 및 실시간 감시 기능 켜기)
- V3 제품군 : Trojan/win32.Petya
- 알약 : Trojan.Ransom.Petya
▶ 출처가 불분명한 메일 또는 링크의 실행 주의
▶ 파일 공유 사이트 등에서의 파일 다운로드 및 실행 주의
▶이상징후 포착, 침해사고 발생 시 한국인터넷진흥원 인터넷침해대응센터로 즉시 신고 등
■ 페트야_랜섬웨어_분석백서(Petya Ransomware Goes Low Level) _ 첨부파일
■ 페트야 랜섬웨어 예방법 (백신 생성, Petya Ransomware Vaccine) _ 링크
(http://cafe.naver.com/rapid7/2921)
※ 해커에게 복종하지 마십시오.
(몸값을 지불하고도 파일을 해독 할 수 있다고 보장 할 수 없습니다.)
댓글 없음:
댓글 쓰기