28일 카스퍼스키 랩에 따르면 페트야 랜섬웨어에 감염된 PC는 이미 2,000대를 넘어섰고 이 중 60% 정도가 우크라이나에서 발생한 것으로 조사되었습니다
우크라이나의 공항이나 중앙은행, 지하철, 체르노빌 발전소 등 기반시설도 타격을 입었다고 하는데요
국내에서도 한국MSD(미국 제약사 머크의 한국 지사)에서 페트야 감염 피해를 입은 것으로 나타났습니다
이 페트야 랜섬웨어는 금전을 요구했던 이전의 바이러스와는 달리 금전보다는 국가를 목표로 한다는 분석에 힘이 실리고 있는데요
대부분의 랜섬웨어는 파일을 암호화했다가 비용을 지불하면 복호화해주었지만 페트야에 감염된 컴퓨터의 경우에는 암호를 해독할 수 없고 지불방법 또한 매우 복잡하기 때문입니다
페트야는 컴퓨터 부팅에 필요한 파일들까지 감염시켜서 일단 감염되면 컴퓨터가 먹통이 되어버린다고 합니다
하드웨어에 저장된 모든 파일과 디렉토리 정보를 담은 마스터파일테이블과 운영체제 구동과 관련된 마스터부트레코드를 암호화시키기 때문입니다
페트야 랜섬웨어는 워너크라이와 유사한 취약점을 활용합니다
윈도우 OS에서 폴더와 파일 공유, 프린터 공유, 원격 접속 등을 사용하기 위해 사용되는 통신 프로토콜인 SMB 취약점을 공격에 사용하고 있으며 다른 시스템을 감염시키는 네트워크 웜의 특성도 지니고 있습니다
다만 워너크라이 확산 초기에는 워너크라이 동작을 무력화시키는 킬스위치가 있었지만 페트야의 경우 아직까지 확산을 지연시킬 방안이 없는 상황입니다
감염을 예방하기 위해서는 중요한 자료는 네트워크에서 분리된 저장장치에 별도로 저장해 관리하고 윈도우 등 OS와 사용중인 프로그램의 최신 보안 업데이트를 적용해야 합니다
이외에도 신뢰할 수 있는 백신 프로그램을 최신업데이트하고 정기적으로 검사를 진행해주세요
출처가 불분명한 메일 또는 링크의 실행을 피하시고 파일 공유 사이트 등에서 파일 다운로드에 주의하셔야 합니다
안랩 ASEC 대응팀에 따르면 페트야 랜섬웨어는 파일을 암호화하는 것 외에 시스템의 MBR을 변조해 부팅을 불가능하게 만들어 감염되면 워너크라이보다 더 큰 피해가 우려된다며 감염피해를 막기 위해서 SMB 취약점 관련 윈도우 보안패치를 적용해야한다고 합니다
페트야 랜섬웨어 피해를 예방하기 위한 기본 조치는 MS17-010을 업데이트하고 적용하는 것입니다
하지만 현재는 페트야 랜섬웨어의 확산 초기인데다 변종이 더 만들어질 수 있기 때문에 현재의 감염 예방법이 100% 효과를 보장한다고 장담할 수는 없는 상황이며 일반적인 랜섬웨어 대응방식대로 감염가능성을 염두에 두고 미리 주요 파일과 데이터를 정기적으로 백업하고 안전하게 보관해야 할 필요가 있겠습니다
※ 페트야 랜섬웨어에 대비하기 위한 IBM의 권고사항
- 마이크로스프트 보안 패치 MS17-010을 적용하고 모든 백신 프로그램을 최신 버전으로 업데이트
- 백업 시스템이 효과적으로 구성되었는지 확인
- 안전이 검증된 알려진 스냅샷 및 리이미지 시스템을 통해서만 백업, 복원작업 진행
- 페트야의 측면 침입을 방지하기 위해 패치가 적용되지 않은 시스템은 분리
- 중요한 모든 시스템 및 네트워크 모니터링이 효과적으로 이루어지는지 확인
- 네트워크 상의 합법적 툴을 통한 접근을 차단하는 권한 자격 보호에 대한 정기적 리뷰를 시작하고 꾸준히 실시
- 사고 대응과 유사시 계획을 재검토
출처 - http://www.technoa.co.kr/news/articleView.html?idxno=86489
