본문 바로가기

Petya 랜섬웨어 변종 확산

petya ransomeware


얼마전 광풍으로 휩쓸고간 랜섬웨어 워너크라이.

그리고 또 확산되는 Petya 랜섬웨어.


Petya ransomeware는 작년에 언듯 한번 본 듯 한데 올해 또 기승을 부리는 듯.


이 랜섬웨어는 MBR(마스터 부트 레코드)영역을 변조시켜서 빨간 해골화면을 띄우면서 파일들을 감염시킵니다.


유입되는 주된 경로는 이메일을 통해서 유입이되며 MBR이 변조되면 정상적인 윈도우OS로의 부팅이 불가능 하다한다.


작년 3월경쯤 발견되서 한동안 잠잠 하더니 올해 6월 27일 우크라이나의 체르노빌 원자력발전소 방사선 모니터링 시스템이 오프라인이 되었고 우크라이나의 은행, 지하철 체계에도 영향을 받음.


영국의 광고회사 WPP, Maersk Line, 스페인 식품회사 Mondelez, 러시아 석유회사 Rosneft, 다국적 법률 사무소 DLA Piper, 프랑스 건설회사 Saint Gobain등의 기업들도 감염의 영향을 받았다.


특히 우크라이나는 우크라이나의 유명한 회계 소프트웨어 MEDoc의 악성 소프트웨어 업데이트로 인해 발생이 됬다.


그런데 이 Petya랜섬웨어가 우리나라에도 유입이 되기 시작했다는 뉴스가 떳다.



다행인건지 킬스위치가 트위터에 떳는데 이 킬 스위치로 감염을 예방 할수 있다고 

하는데


관련글들.

http://blog.alyac.co.kr/1182


https://twitter.com/0xAmit/status/879778335286452224


http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170628094036


https://gist.github.com/ujeenator/461a68816938c7f4010a535ec47b3199


워너크라이 랜섬웨어때도 바로 옆컴이 걸려서 부랴부랴 인터넷 다뒤져서 예방방법을 적어놓고 잠들고 했었는데 그날부터 랜섬웨어 감시하는 툴을 바로 깔아서 쓰고 있다.


이게 얼만큼 실효성이 실제 있을진 모르겠지만


중요한건 치료가 아닌 예방이라서 이미 걸리고 난뒤면 어떻게 될까.


SMB취약점(MS17-010)을 이용한 PETYA가 나오고 그다음은 또 뭐가 나올지 뉴스를 그렇게 즐겨보지 않는데 앞으로는 하루에 한번씩은 봐야겠다.


이메일이야 어차피 모르는 곳은 열어보지 않고 바로 삭제니 상관없는데 인터넷에 필요한 유틸을 받아야 한다던지 양식을 받아야 한다던지 할 때 한두번쯤은 요즘도 멈칫하게 되는데


또한 변종 랜섬웨어가 나오겠지.


왠지 점점 세상이 무서워 진다.


바이러스를 넘은 파일이나 주요문서를 인질로 잡은 돈 요구라니.


그걸 만든 그들은 혹은 그것으로 인해서 비트코인을 결제받은 그들은 즐거울까?