WannaCry 사태와 유사한 Petya 랜섬웨어 전세계 확산 중

게시일: 2017-06-28 l 작성자: Trend Micro

Petya 랜섬웨어 변종으로 보고된 대규모 랜섬웨어 공격이 현재 특히 유럽을 중심으로 여러 사용자들을 강타하고 있습니다. 트렌드마이크로가 이미 탐지명 RANSOM_PETYA.SMA 로 탐지한 이 변형 랜섬웨어는 EternalBlue 익스플로잇과 PsExec 도구를 감염 벡터로 사용하는 것으로 알려져 있습니다. 따라서 개인 사용자 및 기업은 감염을 예방하고 피하기 위해 다음과 같은 완화 단계를 즉시 수행하는 것이 좋습니다.

  • 보안 패치 MS17-010 적용
  • TCP 포트 445 사용 금지
  • 관리자 그룹 액세스 권한이 있는 계정의 제한

또한 트렌드마이크로는 Trend Micro XGenTM Security 에 포함된 Predictive Machine Learning 과 기타 관련 랜섬웨어 보호 기능을 통하여 고객을 위협으로부터 보호합니다. 트렌드마이크로는 현재 이 위협요소를 분석 중에 있으며, 또한 더 자세한 사항을 바로 업데이트해드리도록 하겠습니다.

감염 경로

이번 랜섬웨어의 첫 진입은 원격 시스템에서 프로세스를 실행하기 위해 사용되는 공식 Microsoft 유틸리티인 PsExec 도구의 사용과 관련이 있습니다. 또한 이전에 WannaCry 공격에서 사용된 EternalBlue 익스플로잇을 사용하여 SMB (Server Message Block) v1 취약점을 타겟으로 합니다. 한번 시스템에 들어오게 되면 이 Petya 변종은 rundll32.exe 프로세스를 사용해 변종을 실행시킵니다. 또한 실제 암호화는 Windows 폴더에 있는 perfc.dat 이라는 파일에 의해 진행됩니다.

그런 다음 적어도 한 시간 후에 시스템을 재부팅시키는 작업을 예약합니다. 한편 마스터 부트 레코드 (MBR) 는 또한 암호 생성기가 암호화를 진행하고 랜섬 노트가 화면에 뜰 수 있도록 변형이 됩니다. 그 후 가짜 CHKDSK 알림이 표시가 되는데, 사실상 바로 이때가 실제 암호화가 수행되는 시기입니다. 다른 랜섬웨어와는 다르게 이 랜섬웨어는 암호화된 파일의 확장명을 변경하지 않습니다. 대신 엔터프라이즈 설정에서 사용되는 파일 유형으로만 60개 이상의 파일 확장자를 타겟으로 삼고 있습니다. 또한 다른 랜섬웨어의 주 타겟인 이미지 및 비디오 파일은 공격에서 제외합니다.


그림 1. 감염 과정


그림 2 와 그림 3. 재부팅 후 표시되는 랜섬웨어 공지


EternalBlue 익스플로잇을 사용하는 것 외에도 WannaCry와는 또 다른 유사점이 있습니다. Petya 변종 또한 몸값 요구 과정이 꽤 간단하다는 것입니다. WannaCry 와 마찬가지로 하드코딩된 비트코인 주소를 사용함으로써 공격자 입장에서는 암호 해독을 훨씬 더 노동집약적인 프로세스가 됩니다. 이는 이전 Petya 공격과는 대조적으로, Petya 공격이 프로세스에 대한 더 많은 UI를 개발한 것으로 볼 수 있습니다. 피해자들은 몸값으로 미화 300달러를 내야 합니다. 현재까지 총 미화 7500 달러가 결제된 것으로 확인되었습니다. 다른 모든 랜섬웨어 공격에서도 마찬가지지만 특히 이번 경우에는 랜섬 노트에 기재된 이메일이 더 이상 사용할 수 없는 계정이므로 몸값을 지불하는 것을 추천하지 않습니다.

트렌드마이크로 솔루션

트렌드마이크로 솔루션에 대한 자세한 내용은 여기를 클릭하여 확인하시기 바랍니다.

아래는 이번 위협과 관련이 된 SHA 256 해시입니다.

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1

[원문: Large-Scale Ransomware Attack In Progress, Hits Europe Hard]