‘페트야'(Petya) 변종 랜섬웨어가 전 세계적으로 확산되고 있다. <뉴욕타임스>, <더버지> 등 외신은 6월27일(현지시간) 우크라이나, 프랑스, 러시아, 미국 등 세계 여러 나라에서 해당 랜섬웨어 감염 피해가 속출하고 있다고 보도했다.

해당 랜섬웨어는 지난달 전 세계를 강타한 워너크라이 랜섬웨어와 같이 SMB 취약점을 이용한다. 하지만 한 단계 진화한 특성을 가지고 있다.

가장 큰 특징은 페트야 변종 랜섬웨어에 감염되면 PC를 부팅하는 것조차 불가능하다는 점이다. 부팅을 시도하면 정상 윈도우 로고 대신 랜섬웨어 감염 사실과 300달러 상당의 비트코인을 요구하는 ‘랜섬노트(첨부파일 변조)’가 뜬다.

페트야 변종 랜섬웨어 랜섬노트 화면.

▲페트야 변종 랜섬웨어 랜섬노트 화면. (출처=안랩)

또 다른 특징은 빠르게 확산되는 전염성이다. 이스트시큐리티는 해당 랜섬웨어가 마치 전염병처럼 퍼지는 네트워크 웜의 특성을 지녔다고 분석했다. PC 1대가 감염되면 인터넷에 연결돼 있고 보안에 취약한 다른 PC를 무작위로 찾아내 감염 공격을 시도한다.

가장 큰 피해를 본 나라는 우크라이나다. 우크라이나의 보르시프리 국제공항, 중앙 은행 등이 페트야 변종 랜섬웨어의 공격을 받았다. 체르노빌 원자력 발전소 운행 시스템까지 공격 대상이 됐다. 이외에도 러시아 석유 회사 로즈네프트, 미국 피츠버그에 위치한 제약 회사 등 피해 사례가 확인됐다.

현재 한국인터넷진흥원(KISA)에 공식적으로 접수된 국내 피해 사례는 없다. KISA 측은 “접수된 것은 없지만 온라인 커뮤니티에 페트야 변종 랜섬웨어에 감염됐다는 국내 피해 사례가 올라왔다”라며 “계속 모니터링을 하며 주시하고 있다”이라고 밝혔다. KISA는 현재 해당 악성코드의 샘플을 확보해 보안업체들과 공유한 상태다.

보안 회사들은 유럽에서 페트야 변종 랜섬웨어가 확산되기 시작하자 대응 모색을 시작했다. 안랩은 6월28일 V3 백신에서 해당 랜섬웨어에 대응하고 있다고 했다. 안랩 V3 제품군에서는 해당 랜섬웨어 정보를 최신 엔진에 반영해 이미 탐지명 ‘Trojan/win32.Petya’으로 진단하고 있다.

이스트시큐리티는 통합 백신 알약의 긴급 업데이트를 완료했으며, 현재 탐지명 ‘Trojan.Ransom.Petya’으로 진단 후 차단하고 있다.

안랩은 피해를 예방하기 위해 기본 보안수칙을 실행해야 한다고 제시했다. 안랩이 제시한 수칙은 V3 등 백신 최신 업데이트, 시스템 정밀검사 및 실시간 감시 기능 켜기, 윈도우 운영체제 및 기타 사용 중 프로그램 최신 업데이트, 주요 파일 백업, 수상한 메일에 첨부된 파일 실행 금지 등이다. 이스트시큐리티 시큐리티대응센터 역시 “SMB 취약점을 활용한 공격은 윈도우와 백신의 최신 버전 업데이트만으로도 대부분 차단할 수 있는 만큼서둘러서 사용하는 PC의 보안 점검과 업데이트를 진행해야 한다”라고 당부했다.


출처 : 블로터 http://www.bloter.net/archives/283704

등록

    의견을 남기시려면 로그인 또는 가입 후 이용해 주세요

    포럼 참여 업체

    포티넷 코리아

     

    Paloalto Networks

     

    F5 Networks Korea

     

    FireEye

     

    Symantec

     

    SK인포섹

     

    NSHC

     

    ㈜이글루시큐리티

     

    전문가 그룹

    김영표_Young

    시만텍&블루코트
    전문 분야 :

    양경윤

    파이어아이

    강정민

    팔로알토네트웍스 코리아

    김범수

    팔로알토네트웍스

    이진원

    파이어아이