랜섬웨어

전 세계를 강타한 '워너크라이'(WannaCry) 변종 랜섬웨어 '페트야 (Petya)'

2,900    2017-06-29


개요  

컴퓨터 부팅을 차단해 화면을 잠그는 페트야 (Petya)가 러시아를 시작으로 빠르게 전 세계로 확산되면서 한국 기업들의 감염 피해가 우려되고 있습니다.


페트야 (Petya)는 2017년 상반기 가장 큰 이슈인 워너크라이 (WannaCry)의 변종 랜섬웨어로 분석되었습니다.



페트야 (Petya)와 워너크라이 (WannaCry) 공통점  

전문가들은 워너크라이 (WannaCry)에서 사용된 이터널 블루 (Eternal Blue) 코드를 페트야 (Petya)에서도 사용한 것으로 예측하고 있습니다.


또한 WannaCry와 같은 공격 방법인 윈도 운영체제 (OS)의 SMB (Server Message Block) 취약점을 공격에 사용하여 네트워크를 통해 다른 시스템을 감염 시키는 네트워크 웜(Worm)의 특성을 띠며 전염성이 빠릅니다.


* 이터널 블루 (Eternal Blue)

▷ 원래 미국 국가 안보국(NSA)이 윈도의 취약점을 활용해 만든 해킹 도구로 2017. 04월 해커 조직 섀도 브로커스 (Shadow Brokers)가 NSA에서 훔쳐 인터넷상에 공개


* 웜 (Worm)

▷ 한대의 PC가 감염되면 인터넷에 연결된 다른 PC도 찾아내 공격을 시도하는 네트워크



감염 증상 및 피해

1. 페트야 실행 시 발생 화면 



2. 페트야 복구 비용을 요구하는 화면 (감염된 PC 화면)


 

페트야(Petya)는 WannaCry에 비해 더 정교하며 저장된 문서, 사진 등의 파일을 개별적으로 암호화시켰던 기존의 랜섬웨어와 다르게 하드디스크(HDD) 등 저장매체에 저장된 모든 파일과 디렉터리에 대한 정보를 담고 있는 MFT(Master File Table)와 OS 구동에 관련된 MBR(Master Boot Record) 영역을 감염시킵니다.


MBR 영역이 감염된 PC나 시스템은 윈도우 OS 구동 자체가 불가능

즉, 감염 후 PC 부팅이 불가능하며 작동을 위해 전원을 켜면 그 즉시 300달러 상당의 비트코인을 요구하는 안내창이 발생합니다.



대응 방안  

현재 워너크라이 (WannaCry) 사건 이후로 대부분의 기업에서 OS 업그레이드가 이뤄진 탓에 현재까지는 피해 규모가 크지 않지만 아직 윈도우 구 버전을 사용하는 기업에서는 윈도 최신 버전 업데이트 등 대비가 필요합니다.


이렇듯 신종/ 변종 랜섬웨어는 해커들에 의해 지속적으로 생성되기 때문에 언제, 어떻게, 어떤 악성코드가 감염될지 예측하기 어려워 주기적으로 PC 백업을 해야 합니다.


또한 단일 백신으로는 다양한 악성코드를 모두 차단할 수 없기 때문에 EXE, Script, Acrive X 등 56개의 백신 엔진을 통해 안전성 검증을 하며 허용 외 모든 프로세스를 차단하는 White 기반 솔루션이 필요합니다.



댓글 : 0