보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

부팅 방해하는 페트야 랜섬웨어 확산 중….주의!

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-06-28

 6월 27일(현지 시각) 우크라이나, 영국, 러시아 등 유럽 지역에서 페트야(Petya) 랜섬웨어 피해가 잇따라 발생하고 있다. 이번 페트야 랜섬웨어 변종은 얼마 전 전세계 150여 개국에 피해를 입힌 워너크립터(WannaCryptor) 랜섬웨어와 동일하게 SMB 취약점(MS17-010)을 이용해 유포되고 있는 것으로 확인됐다. 특히 이 페트야 랜섬웨어는 파일 암호화뿐만 아니라 감염 시스템의 MBR을 변조하여 부팅을 불가능하게 해 더 큰 피해가 우려된다. 

 

이번 페트야 랜섬웨어 변종은 시스템을 감염시키고 한 시간 후 아래의 명령을 통해 강제 재부팅을 진행한다. 또한 시스템이 재부팅되기 전까지 네트워크 대역 내의 IP를 탐색해 139, 445 포트가 열려있는지 확인한다.

 

- C:\Windows\system32\shutdown.exe /r /f

 

페트야 랜섬웨어에 의해 시스템이 강제로 재부팅될 때 아래 [그림 1]과 같은 문구가 나타난다. 이 과정에서 MFT 및 파일들을 암호화 하는 것으로 추정된다.

 

  

[그림 1] 시스템 재부팅 시 나타나는 에러 메시지

 

암호화를 완료하고 나면 [그림 2]와 같은 내용을 사용자에게 보여주며 300달러(한화 약 34만원) 상당의 비트코인을 요구한다. 

 

  

[그림 2] 페트야 랜섬웨어 랜섬 노트

 

2017년 6월 28일 현재까지 확인된 암호화 대상 파일의 확장자는 다음과 같으며, 이 외에 다른 암호화 대상 파일이 있는지 등은 추가 분석 중이다. 

 

 

 

안랩은 페트야 랜섬웨어를 확인하는 즉시 분석을 진행, 관련 시그니처를 V3 제품군에 반영했다(엔진 버전: 2017.06.28.01). 또한 긴급 공지 메일을 통해 자사 고객들에게 주의를 당부하는 한편, 보안정보 페이스북, 링크드인 등의 소셜 미디어를 통해 관련 내용을 알리고 피해 확산 방지를 위해 다각도의 노력을 기울이고 있다.

 

페트야 랜섬웨어 등 신•변종 랜섬웨어 피해를 예방하기 위해 ▲V3등 백신을 최신으로 업데이트 및 시스템 정밀검사 및 실시간 감시 기능 키기 ▲윈도우 OS 및 기타 사용중인 프로그램 최신으로 업데이트 ▲주요파일 백업 ▲수상한 메일 첨부파일 실행 금지 등 기본 보안 수칙을 준수하는 것이 바람직하다. 

 

특히 이번 페트야 랜섬웨어와 지난 워너크립터 랜섬웨어가 동일한 SMB 취약점을 이용해 유포되고 있는 만큼, 관련 윈도우 보안 패치를 적용하는 것이 시급하다. SMB 취약점 관련 보안 업데이트에 관한 내용은 아래 링크를 참고할 수 있다.  

 

▶ SMB 취약점을 이용한 랜섬웨어 공격 주의 권고

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25703

 

▶ SMB 취약점 관련 Windows XP, Server 2003 등 긴급 보안 업데이트 권고

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25704

 

▶SMB 취약점을 악용한 랜섬웨어 방지 대국민 행동 요령

http://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=25723

 

▶ 윈도우 버전별 보안업데이트 다운로드

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

  • AhnLab 로고
  • ASEC
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.