안녕하세요 Triumph 입니다.
공격한 페트야(PETYA) 랜섬웨어에 대해 포스팅 합니다.
어제 유럽을 공격한 랜섬웨어로 미국 제약회사 머크와 러시아 국영 석유회사 로스네프트, 영국 광고회사 WPP, 프랑스 자동차 유리 전문기업 상고방 등 다국적 기업들이 모두 랜섬웨어로 피해를 입었습니다.
페트야(PETYA)의 최초 발견은 2016년 초 발견되었습니다.
이때는 단순 MBR(Master Boot Record)만 변조되어 부팅이 불가했으며, MBR 복구를 통해 데이터는 살릴 수 있었습니다.
하지만 지난달 이슈가 된 워너크라이(WannaCry) 랜섬웨어에서 사용되었던 MS17-010 SMB 취약점을 통해
네트워크 검색 후 파일까지 암호화 하도록 기능이 추가되었습니다.
페트야(PETYA) 랜섬웨어 감염 시 아래와 같은 화면으로 비트코인 지불을 유도합니다.
이번 페트야(PETYA) 랜섬웨어가 감염시키는 확장자 정보는 다음과 같습니다.
|
3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mai, l, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pv, i, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmd, k, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip |
페트야(PETYA) 랜섬웨어는 워너크라이(WannaCry)에서 사용되었던 MS17-010 SMB 취약점을 이용하고 있기 때문에
워너크라이(WannaCry)와 동일하게 MS17-010 SMB 취약점에 대한 보안 패치가 필요합니다.
① PC를 켜기 전 네트워크를 단절(랜선 뽑음)시킨 후 파일 공유 기능 해제
※ 파일 공유 기능 해제 방법
② 네트워크 연결 후 백신의 최신 업데이트를 적용 및 악성코드 감염 여부 검사
③ 윈도우 PC(XP, 7,8, 10 등) 또는 서버(2003, 2008 등)에 대한 최신 보안 업데이트 수행
※ MS17-010 SMB 취약점 패치 다운로드
감사합니다.
* Reference
- http://blog.alyac.co.kr/1180
- http://m.post.naver.com/viewer/postView.nhn?volumeNo=7658112&memberNo=3326308&vType=VERTICAL
'System > Windows' 카테고리의 다른 글
| 워너크라이(WannaCry) 랜섬웨어 (0) | 2017.05.15 |
|---|---|
| Windows TS Session Hijacking 취약점 (0) | 2017.03.21 |
| 스카이레이크 Win 7 설치 시 USB 3.0 인식방법 (0) | 2017.03.03 |
