좀 과한 제목인가? 그렇지 않다고 생각한다. 하루 걸러서도 아니고 요즘은 매일 랜섬웨어에 의한 사고 사례가 전파되고 있다. 그것도 특정 국가에 한정된 것도 아니고 전세계(우크라이나, 프랑스, 러시아, 미국, 한국 등) 곳곳에서 사고 소식이 전해오고 있다. 이번에는 페트야(Petya) 변종 랜섬웨어가 주인공이다. <뉴욕타임스>, <더버지> 등 외신은 27일부터 유럽을 중심으로 페트야 변종 랜섬웨어가 빠르게 확산되고 있어 주의를 당부했다. 페트야 변종 랜섬웨어는 윈도우 운영체제에서 폴더 및 파일공유, 프린터 공유, 원격 접속 등에 사용되는 SMB 프로토콜의 취약점을 이용한 공격이며, 네트워크로 다른 PC에 전염되는 특성을 가지고 있어 지난 5월에 발생한 워너크라이와 비슷한 유형의 공격 형태를 가진다.
페트야 변종 랜섬웨어는 사용자의 파일만을 감염시키는 것이 아니라 MBR(Master Boot Record) 영역을 감염시킨다는 점에에서 워너크라이 랜섬웨어 보다 한 단계 더 진화된 공격의 특징을 가지고 있다. 따라서 페트야 변종 랜섬웨어에 감염이 되면 시스템의 부팅도 이루어지지 않게 된다.
국내에도 페트야 변종 랜섬웨어로 인한 감염 사례가 전파 되었다. 6월 27일 저녁 9시 25분경 인터넷 커퓨니터 SLR클럽을 통해서 회사 전체가 랜섬웨어에 감염되어 난리가 났다며 감염된 컴퓨터의 사진과 함께 글이 올려졌다.
내일부터 오프라인으로 일하라는데...
이 말이 너무 안타깝네요. 4월 페트야, 5월 워너크라이 사태 이후로 지속적으로 윈도우 보안패치에 대해 공지가 되었는데 지금까지 아무런 조치를 취하지 않았다는 것을 어떻게 해석을 해야 할까요? 저는 조치를 취하지 않은 것이 아니라 조치를 취할 수 없었다고 봅니다. 어제 올렸던 혼다와 같은 대기업은 너무 안일하게 대응을 한 것이라 생각이 되구요.
감염경로
이번 랜섬웨어의 첫 진입은 원격 시스템에서 프로세스를 실행하기 위해 사용되는 공식 Microsoft 유틸리티인 PsExec 도구의 사용과 관련이 있습니다. 또한 이전에 WannaCry 공격에서 사용된 EternalBlue 익스플로잇을 사용하여 SMB (Server Message Block) v1 취약점을 타겟으로 합니다. 한번 시스템에 들어오게 되면 이 Petya 변종은 rundll32.exe 프로세스를 사용해 변종을 실행시킵니다. 또한 실제 암호화는 Windows 폴더에 있는 perfc.dat 이라는 파일에 의해 진행됩니다.
그런 다음 적어도 한 시간 후에 시스템을 재부팅시키는 작업을 예약합니다. 한편 마스터 부트 레코드 (MBR) 는 또한 암호 생성기가 암호화를 진행하고 랜섬 노트가 화면에 뜰 수 있도록 변형이 됩니다. 그 후 가짜 CHKDSK 알림이 표시가 되는데, 사실상 바로 이때가 실제 암호화가 수행되는 시기입니다. 다른 랜섬웨어와는 다르게 이 랜섬웨어는 암호화된 파일의 확장명을 변경하지 않습니다. 대신 엔터프라이즈 설정에서 사용되는 파일 유형으로만 60개 이상의 파일 확장자를 타겟으로 삼고 있습니다. 또한 다른 랜섬웨어의 주 타겟인 이미지 및 비디오 파일은 공격에서 제외합니다.
감염과정
재부팅 후 표시되는 랜섬웨어 공지
EternalBlue 익스플로잇을 사용하는 것 외에도 WannaCry와는 또 다른 유사점이 있습니다. Petya 변종 또한 몸값 요구 과정이 꽤 간단하다는 것입니다. WannaCry 와 마찬가지로 하드코딩된 비트코인 주소를 사용함으로써 공격자 입장에서는 암호 해독을 훨씬 더 노동집약적인 프로세스가 됩니다. 이는 이전 Petya 공격과는 대조적으로, Petya 공격이 프로세스에 대한 더 많은 UI를 개발한 것으로 볼 수 있습니다. 피해자들은 몸값으로 미화 300달러를 내야 합니다. 현재까지 총 미화 7500 달러가 결제된 것으로 확인되었습니다. 다른 모든 랜섬웨어 공격에서도 마찬가지지만 특히 이번 경우에는 랜섬 노트에 기재된 이메일이 더 이상 사용할 수 없는 계정이므로 몸값을 지불하는 것을 추천하지 않습니다.
랜섬웨어서 전세계를 강타하고 있습니다. 여기저기 사고 사례가 전파되고 있습니다. 그 사고의 주인공이 되고 싶지 않다면 바로 지금, 당장 윈도우 업데이트(보안 패치)를 실행하시기 바랍니다. 그 작은 행위로도 대부분의 랜섬웨어 공격을 피해갈 수 있습니다.
2017/06/26 - [Smart Working] - 워너크라이 랜섬웨어 공포 아직 끝나지 않았다
2017/06/16 - [Smart Life] - 나도 '인터넷나야나' 랜섬웨어 감염의 간접 피해자
2017/05/15 - [Smart Working] - WannaCrypt(워너크립프트) 랜섬웨어 대응 방법 안내
2017/05/15 - [Smart Working] - 랜섬웨어 '워너크라이(WannaCry)'로 전세계가 시끄럽다