번외-WannaCry(워너크라이)에 이은 Petya Ransomware(페트야 랜섬웨어)
안녕하세요. 보안에 관심 있는 컴퓨터공학도입니다. 본 내용에 부족한 점 혹은 수정할 점이 있으면 적극적으로 참여부탁드립니다.
이번 주제는 번외로 Petya Ransomware에 대해 글을 적었습니다. 이유는 WannaCry에 이은 주목할만한 Ransomware이기 때문입니다.
먼저 Petya Ransomware는 Petya Malware(악성코드)와 매우 유사합니다. 여기서 Petya Malware를 간단히 설명해 드리면 MS windows 기반 시스템을 대상으로 MBR를 감염시켜 NTFS File Table을 암호화하는 페이로드를 실행하고 Bitcoin을 지불을 요구하고 본래 사용자의 환경을 얻을 수 있도록 하는 Malware입니다.
다음으로 Petya ransomware는 Local Network를 통해서만 전파되는데 이미 Petya ransomware에 감염된 Device와 같은 Network 안에 있다면 감염될 가능성이 굉장히 높아집니다. 하지만 다른 말로는 같은 Network가 아니라면 감염될 가능성은 굉장히 낮아집니다. 또한, Network를 검사하면 Malware Detection이 가능하다는게 업계의 설입니다. 이유는 Network의 규모가 제한적이라는 이유입니다.
다음으로는 Petya Ransomware의 양상을 살펴보게 되면 WannaCry와 다르게 대규모 감염에서 시작하였습니다. Ukraine(우크라이나)에서 대중적으로 사용하는 Software MeDoc을 해킹 한 뒤 MeDoc을 사용하는 모든 컴퓨터가 Malware를 다운하도록 하였다는 점입니다.
그렇다면 우리는?
그렇다면 우리는 어떻게 행동해야 할지 소개해드리겠습니다.
먼저, Petya Ransomware의 공격자가 몸 값(Bitcoin) 지불을 하라고 알려준 e-mail 주소는 차단된 상태 이므로 돈을 지불하여도 파일을 복구 할 수 있을지 모른다고 합니다.( 여러 보안 뉴스 및 각 종 블로그 참고) 그렇다면 정말 보수적으로 안전할 수 있는 방법은 1시간에 한 번씩 컴퓨터를 리부팅하는 겁니다. 왜냐하면 Petya Ransomware는 감염되면 1시간 후 자동적으로 리부트 되도록 설정이 되는데 이때 encryption(암호화)가 진행되기 때문입니다.
마지막으로 AhnLab ASEC 블로그에서 공유한 기사입니다. 참고 부탁드립니다.
해결법으로 제안된 방법 URL 입니다. 6월 29일 00시 08분 수정하였습니다.
http://bbs.ruliweb.com/news/board/1003/read/2131347?
06월 29일 00시 21분 수정하였습니다.
https://twitter.com/0xAmit/status/879778335286452224
- 0xAmit
WannaCry (Warner Cry) followed by Petya Ransomware (Petya Ransomware)
Good morning. Computer engineering students interested in security. If there is something that is lacking or something to correct, please actively participate.
This topic has written about Petya Ransomware. This is because Ransomware is noteworthy after WannaCry.
First, Petya Ransomware is very similar to Petya Malware. Here is a brief description of Petya Malware: malware that infects an MS windows-based system, runs a payload that encrypts the NTFS file table, infects the MBR, requests payment of Bitcoin, and obtains the environment of the original user.
Next, Petya ransomware propagates only through Local Network. If you are already in a network like Device that is infected with Petya ransomware, it is very likely to be infected. In other words, if you are not on the same network, the likelihood of infection is very low. In addition, it is the industry's opinion that malware detection is possible by examining the network. The reason is that the size of the network is limited.
Next, when we look at the aspect of Petya Ransomware, we started with a large-scale infection unlike WannaCry. After hacking the popular Software MeDoc for use in Ukraine (Ukraine), all computers using MeDoc have downloaded Malware.
Then what about us?
If so, we will show you how to act.
First, the e-mail address that Petya Ransomware told the attacker to pay for the body value is blocked, so you may be able to recover the file by paying money (see various security news and blogs). The safest way to do this is to reboot your computer once an hour. Because Petya Ransomware is configured to automatically reboot after an hour when an infection occurs, encryption is in progress.
Finally, this article is shared by AhnLab ASEC blog. Thank you for your reference.
--Solution--
http://bbs.ruliweb.com/news/board/1003/read/2131347?
https://twitter.com/0xAmit/status/879778335286452224
- 0xAmit