출처주소 :  

부팅막는 페트야 랜섬웨어, 감염 막으려면


워너크라이(WannaCry)에 이어 페트야(Petya) 랜섬웨어가 세계를 강타할 조짐이다. 150개 나라 수많은 기업, 공공기관, 정부조직 컴퓨터 수십만대를 감염시킨 지난달 피해가 재현되지 않으려면 사전 예방 조치가 필수적이다. 어떻게 해야 할까.

?

페트야는 워너크라이처럼 윈도 서버메시지블록(SMB) 처리기능의 취약점 공격코드(익스플로잇) 이터널블루(EternalBlue)를 악용해 확산되고 있다. 마이크로소프트(MS)는 이미 지난 3월 이 공격코드로 악용되는 윈도 SMB 취약점을 패치한 업데이트(MS17-010)를 배포했다. [☞MS 보안 공지 바로가기]

?

즉 페트야 랜섬웨어 피해를 예방하기 위한 기본 조치는 이 업데이트를 적용하는 것으로 요약된다. 평소 꾸준히 OS 업데이트와 패치를 설치하고 있었거나, 지난달 워너크라이 확산 초기 예방차원에서 윈도 운영체제(OS) 해당 업데이트를 내려받아 설치한 환경은 이미 일부분 대비가 된 것이다.


imc_5Sntki3Ils6PVtjf.jpg

우크라이나 하르키우 지역 소재 슈퍼마켓이 계산대 컴퓨터를 페트야 랜섬웨어에 감염당한 현장 모습. [사진=Mikhail Golub의 페이스북]



다만 SMB 취약점 패치만으로는 충분하지 않다. 페트야가 갖춘 확산 능력은 워너크라이보다 더 다양하기 때문이다. 인도 사이버보안 전문사이트 '더해커뉴스'는 27일(현지시간) SMB 취약점을 비롯한 여러 보안 업데이트가 적용된 윈도 시스템도 페트야 랜섬웨어 감염 피해를 입었다고 전했다. [☞원문 바로가기]

?

보도에 인용된 사이버보안업체 F시큐어 믹코 히포넨 최고연구책임자(CRO)의 설명에 따르면 페트야는 최신 패치된 시스템도 감염시킬 수 있다. 이 악성코드가 타 시스템을 감염시킬 때 SMB 취약점뿐아니라 'WMIC' 및 'PSexec'라는 윈도 시스템 내장 관리툴도 사용하기 때문이다. [☞원문 바로가기]

?

한 보안 전문가는 감염 예방을 위해 SMB 취약점 패치에 더해 WMIC를 사용하지 않도록 설정하는 것이 좋다고 조언했다. WMIC는 '윈도 매니지먼트 인스트루멘테이션(WMI)'이라는 시스템 관리 서비스 기능을 명령줄로 쓸 수 있게 만드는 인터페이스다. 더해커뉴스에 따르면 WMI 서비스 중단으로 WMIC를 통한 감염 경로를 차단할 수 있다.

?

MS는 개발자 네트워크(MSDN) 문서를 통해 WMI 서비스를 어떻게 중단할 수 있는지 안내하고 있다. 윈도 명령프롬프트를 띄우고 'net stop winmgmt'라는 명령을 실행하면 된다. 다만 이 경우 SMS에이전트호스트나 윈도 방화벽같은 WMI 서비스에 의존하는 다른 서비스도 정지된다. [☞MSDN 문서 바로가기]

?

시스템 설정을 건드리지 않고 페트야 랜섬웨어 감염을 예방할 수 있는 방법도 발견됐다. 영국 PT시큐리티, 미국 사이버리즌, 프랑스 익스클루시브네트웍스 등 소속 보안연구자들을 통해서다. 컴퓨터 사용자가 'C:windows' 경로에 'perfc' 또는 'perfc.dat'이라는 이름의 파일을 만들어 넣으면 된다는 설명이다. [☞원문(1) 바로가기] [☞원문(2) 바로가기]


imc_ezF8AKqmCX4OTUII.jpg

일부 보안연구자들이 발견한 페트야 랜섬웨어 '킬스위치' 실행 명령. 윈도 OS 경로에 페트야의 동작을 멈추게 하는 파일을 생성하고 읽기전용 속성으로 지정하는 명령어다.


한 보안 전문가는 이를 수행하려면 관리자 권한으로 명령 프롬프트를 실행한 뒤 다음 3가지 명령을 입력하라고 조언했다. 첫째는 'rem. > %windir%perfc' 입력 후 엔터. 둘째는 'rem. > %windir%perfc.dat' 입력 후 엔터. 마지막으로 'attrib +R %windir%perfc.*' 입력 후 엔터. 작은따옴표(')는 제외다.

?

연구자들의 설명에 따르면 페트야 랜섬웨어는 감염 대상 시스템의 윈도 OS 경로안에 perfc라는 이름의 파일명이 존재할 경우 악성 행위를 중단하는 것으로 파악됐다. 시스템을 암호화하거나 다른 컴퓨터로 전파를 시도하지 않는다는 얘기다. 이런 이유에서 이 파일 생성 방법은 '로컬 킬스위치'라 불리고 있다.

?

하지만 현재는 페트야 랜섬웨어의 확산 초기인데다 위 방법을 우회하는 변종이 더 만들어질 수 있기 때문에 이상의 감염 예방법이 100% 효과를 보장한다고 장담할 수는 없다. 일반적인 랜섬웨어 대응방식대로, 애초에 감염 가능성을 염두에 두고 전 미리 주요 파일과 데이터를 정기적으로 백업하고 안전하게 보관해야 할 필요가 있다.


http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170628094036&lo=z35


위에서 알려준 대로 하면 될까요 ...?

피드백이 필요 합니다 ㅎ




List of Articles
번호 제목 글쓴이 날짜 조회 수
23 Win10 64비트 버전만 통합된 ISO 배포 시작 (4.32GB) file 윈랩 2018-05-14 711
22 인텔 또 굴욕… 보안 패치 깔았더니 PC 먹통 윈랩 2018-01-24 132
21 반도체까지 경고음…삼성전자 내년이 진짜 위기 file 윈랩 2017-12-25 148
20 워너크라이 랜섬웨어, 국내서 또 감염됐다 file 윈랩 2017-08-17 213
19 MS, 윈도10S 탑재한 20만원대 노트북 대거 공개 file 익명 2017-08-02 244
18 내 PC를 몰래 서버로 쓴다고? 웹하드업체 이런 ‘꼼수’를 file 익명 2017-07-31 182
17 윈도 ‘그림판’ 사라진다 file 익명 2017-07-25 80
16 파이어폭스, 1500개 탭 15초만에 연다 file 윈랩 2017-07-25 172
15 MS, 삼성SDS와 클라우드 서비스 업무협약 file 익명 2017-07-25 36
14 마이크로소프트, 전 세계서 영업·마케팅 일자리 줄일 듯 윈랩 2017-07-07 33
13 공공 웹사이트에서 액티브X 사라진다 file 윈랩 2017-07-06 34
» 부팅막는 페트야 랜섬웨어, 감염 막으려면 file 윈랩 2017-06-28 283
11 랜섬웨어 또 확산…이번엔 부팅까지 차단 file 윈랩 2017-06-28 32
10 MS, 윈도XP에도 보안 업데이트 실시 file 윈랩 2017-06-26 36
9 마리아DB 품은 데비안9 '스트레치' 정식판 공개 file 윈랩 2017-06-26 32
8 MS 윈도, 리눅스용 기술로 만들어진다 file 윈랩 2017-06-26 39
7 이동통신 기본료 폐지 무산…사업자들 ‘표정관리’ 시민단체 ‘부글’ 윈랩 2017-06-20 44
6 Windows 10 Enterprise X64 LTSB Final Remix (May 2017) file [1] 윈랩 2017-06-19 1247
5 英, 워너크라이 랜섬웨어 공격 배후로 北 지목 [2] 윈랩 2017-06-18 26
4 MS, 윈도서버 연 2회 기능 업데이트 file 윈랩 2017-06-18 43
XE Login