반응형
다음의 내용은 개인적으로 현재까지 확인하여 작성한 내용이며, 추후에 수정되거나 변경되는 사항이 있을 수 있습니다.
아울러 백신 업체에서 발표하는 내용과 비교하여 질적/양적으로 부족하거나, 혹은 잘못된 내용이 있을 수 있습니다.
그리고 앱체크 제품과 V3 제품은 개인적으로 사용하고 있기에, 예를 들어 설명한 것이니 착오 없으시길 바랍니다.
그리고 앱체크 제품과 V3 제품은 개인적으로 사용하고 있기에, 예를 들어 설명한 것이니 착오 없으시길 바랍니다.
--
이번 Petya/GoldenEye 랜섬웨어의 확산을 막을 수 있는, 현재까지 확인된 킬스위치는 다음과 같습니다.
1. C:\Windows 의 경로에 perfc.dat 라는 이름의 파일을 새로 만들고 쓰기와 실행 권한을 없앱니다.
즉, 읽기전용으로 만들어 줍니다. rundll32 import를 이용하는 Petya에 대한 Kill Switch가 된다고 합니다.
2. C:\Windows 의 경로에 perfc 라는 이름의 파일을 새로 만들고(확장자 없음) 역시 읽기전용으로 만들어 줍니다.
이 부분은 WMI 벡터를 Kill한다고 합니다. 온전한 보호를 위해서는 MS17-010 윈도 업데이트가 필요합니다.
https://twitter.com/0xAmit/status/879764284020064256
https://twitter.com/ptsecurity/status/879766638731591680
참고로 윈도 업데이트가 이미 최신이라면, 이 킬스위치는 딱히 쓸모가 없으니 굳이 하지 않아도 됩니다.
https://youtu.be/t9dddXMECA0
킬스위치가 제대로 작동하는지 테스트해보았습니다. 저 파일을 쓰지 않는 변종은 안 되는 군요 ㅠㅠ
--
https://twitter.com/0xAmit/status/879764284020064256
https://twitter.com/ptsecurity/status/879766638731591680
참고로 윈도 업데이트가 이미 최신이라면, 이 킬스위치는 딱히 쓸모가 없으니 굳이 하지 않아도 됩니다.
https://youtu.be/t9dddXMECA0
킬스위치가 제대로 작동하는지 테스트해보았습니다. 저 파일을 쓰지 않는 변종은 안 되는 군요 ㅠㅠ
--
이번 Petya/GoldenEye 랜섬웨어는 비용을 지불하더라도 암호화된 파일을 복구할 수 없습니다.
이 랜섬웨어에 사용되는 이메일이 정지당했기 때문입니다.
--
이번 Petya/GoldenEye 랜섬웨어는 다음 사항들이 포함됩니다.
1. 수정된 EternalBlue 익스플로잇
2. 써드파티 우크라이나 소프트웨어 제품의 취약점
3. Second SMB 네트워크 익스플로잇
--
이번 Petya/GoldenEye 랜섬웨어에 감염되면 다음의 순서로 MBR과 파일이 암호화됩니다.
(MBR = Master Boot Record)
(MBR = Master Boot Record)
1. 윈도의 작업 스케줄러에 1시간 후에 강제로 재부팅을 하도록 하는 작업 스케줄이 등록됩니다.
C:\Windows\system32\shutdown.exe /r /f
C:\Windows\system32\shutdown.exe /r /f
2. 윈도의 부팅 영역을 담당하는 MBR이 암호화됩니다.
특히 MBR이 암호화된 이후에 재부팅을 하게 되면, 두 번 다시는 윈도로 부팅을 할 수 없게 됩니다.
3. 다음의 확장자를 가진 파일에 대한 암호화가 시작됩니다.
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
4. 강제로 재부팅이 되면서, 부팅 후 Petya/GoldenEye 랜섬웨어에 대한 안내문을 보게 됩니다.
이미 MBR이 암호화된 상태이므로, 윈도로 부팅을 할 수 없습니다.
이번 Petya/GoldenEye 랜섬웨어에 대하여 안티랜섬웨어 프로그램인 앱체크는 다음과 같이 돌아갑니다.
1. 백신이 없거나, 백신이 MBR을 보호하지 못하는 상태에서 앱체크도 없는 경우
MBR과 파일이 모두 암호화되며, 1시간 후 강제 재부팅을 통해 두 번 다시는 윈도로 부팅할 수 없게 됩니다.
이 경우에는 눈물을 머금고 모든 자료를 포기하고 결국 포맷 후 윈도를 재설치해야 합니다.ㅜㅜ
이번 Petya/GoldenEye 랜섬웨어는 이미 설명했듯이 비용을 지불하더라도 복구가 불가능합니다.
1. 백신이 없거나, 백신이 MBR을 보호하지 못하는 상태에서 앱체크도 없는 경우
MBR과 파일이 모두 암호화되며, 1시간 후 강제 재부팅을 통해 두 번 다시는 윈도로 부팅할 수 없게 됩니다.
이 경우에는 눈물을 머금고 모든 자료를 포기하고 결국 포맷 후 윈도를 재설치해야 합니다.ㅜㅜ
이번 Petya/GoldenEye 랜섬웨어는 이미 설명했듯이 비용을 지불하더라도 복구가 불가능합니다.
2. 백신이 없거나, 백신이 MBR을 보호하지 못하는 상태에서 앱체크 무료버전만 설치된 경우
앱체크 무료버전은 MBR 보호 기능이 없기 때문에, MBR 암호화를 막을 수 없습니다.
그러나 파일 암호화가 시작되면 이 단계에서 앱체크 무료버전이 Petya 랜섬웨어를 차단하게 됩니다.
즉, 앱체크 무료버전은 파일 암호화는 차단하나, MBR 암호화는 막지 못합니다.
윈도의 작업 스케줄러에 등록된 강제 재부팅 작업을 삭제하고, diskpart 등을 이용하여 MBR을 복구하여야 합니다.(재부팅시 윈도로 부팅할 수 없게 됨)
마지막으로 (아직 재부팅하지 말고) 최신버전의 MZK를 돌려 Petya/GoldenEye 랜섬웨어를 날려주면 됩니다^^
3. MBR을 보호하거나, 이번 랜섬웨어를 진단하는 백신과 함께 앱체크 무료버전이 설치된 경우
안랩에 문의한 결과, V3 제품의 볼륨 보호 기능은 MBR 보호를 위한 기능이 아닙니다.
만약, Petya/GoldenEye 랜섬웨어가 파일을 암호화하려고 하면 앱체크 무료버전에 의해 랜섬웨어가 차단됩니다.
만약, Petya/GoldenEye 랜섬웨어가 파일을 암호화하려고 하면 앱체크 무료버전에 의해 랜섬웨어가 차단됩니다.
따라서 윈도의 작업 스케줄러에 등록된 강제 재부팅 작업만 삭제하면 됩니다.
마지막으로 (아직 재부팅하지 말고) 최신버전의 MZK를 돌려 Petya/GoldenEye 랜섬웨어를 날려주면 됩니다^^
[+추가]
V3 제품의 엔진DB가 업데이트됨에 따라 V3 Lite와 V3 365에서도 Petya/GoldenEye 랜섬웨어가 진단 후 제거됩니다.
(진단명 : Trojan/Win32.Petya, 엔진버전 : 2017.06.28.01 이상)
[+추가]
V3 제품의 엔진DB가 업데이트됨에 따라 V3 Lite와 V3 365에서도 Petya/GoldenEye 랜섬웨어가 진단 후 제거됩니다.
(진단명 : Trojan/Win32.Petya, 엔진버전 : 2017.06.28.01 이상)
4. 백신이 없거나, 백신이 MBR을 보호하지 못하는 상태에서 앱체크 유료버전이 설치된 경우
앱체크 유료버전이 설치되어 있고 MBR 보호 기능이 켜져 있다면(기본적으로 켜져 있음), MBR 암호화 단계에서 앱체크 유료버전이 Petya/GoldenEye 랜섬웨어를 차단합니다.
그리고 MBR 암호화 단계에서 Petya/GoldenEye 랜섬웨어가 차단되면, 그 다음인 파일 암호화 단계로 넘어가지 못합니다.
랜섬웨어 자동치료 기능이 켜져 있다면(기본적으로 켜져 있음), Petya/GoldenEye 랜섬웨어는 차단 후 자동으로 삭제됩니다.
--
이번 Petya/GoldenEye 랜섬웨어로부터 여러분들의 소중한 자료를 지키기 위해서는 다음의 내용을 꼭 지켜주세요.
(특히, 이번에는 단순히 파일만 암호화되는 것이 아니라, 윈도로 부팅조차 할 수 없게 되므로 주의하셔야 합니다.)
(특히, 이번에는 단순히 파일만 암호화되는 것이 아니라, 윈도로 부팅조차 할 수 없게 되므로 주의하셔야 합니다.)
1. 윈도 업데이트가 최신인지 반드시 확인하기 바랍니다.
Petya/GoldenEye 랜섬웨어가 이용하는 취약점은 이미 보안 업데이트가 완료되었습니다.(한국시간으로 2017년 3월 14일)
여러분의 PC에서 윈도 업데이트가 최신이라면 굳이 걱정하지 않아도 됩니다.
랜섬웨어들로 인하여 윈도 업데이트는 이제 권장이 아니라 필수가 되었습니다.
p.s. 참고로 2017년 6월 28일에 공개된 윈도10의 업데이트는 원래 예정되어 있었던 윈도10 기능 업데이트입니다.
2. MBR을 보호하고 파일 암호화에 대한 차단 기능이 있는 보안 제품을 사용하기 바랍니다.
위에서 예로 들어 설명한 V3 Lite와 V3 365는 볼륨 보호 기능에 의하여 MBR 보호가 가능하며, (안랩에 문의한 결과, V3 제품의 볼륨 보호 기능은 MBR을 보호하는 기능이 아닙니다.) 앱체크 무료버전은 등록된 확장자에 한하여 파일 암호화를 차단하고, 앱체크 유료버전은 둘 다 가능합니다.
앱체크 유료버전 사용자는 필요한 경우에 기본 확장자 외에 추가적으로 보호하고자 하는 확장자를 별도로 추가하기 바랍니다.
V3 제품 외에 자신이 사용하는 백신이 Petya/GoldenEye 랜섬웨어에 의한 MBR 암호화를 막을 수 있는지 문의해보세요.
그리고 V3 Lite의 볼륨 보호 기능에 대하여 자세히 알고자 하면 다음을 참고하세요.
http://kr.ahnlab.com/Help/V3Lite/ko_KR/smart_defense_settings.htm
V3 제품 외에 자신이 사용하는 백신이 Petya/GoldenEye 랜섬웨어에 의한 MBR 암호화를 막을 수 있는지 문의해보세요.
그리고 V3 Lite의 볼륨 보호 기능에 대하여 자세히 알고자 하면 다음을 참고하세요.
http://kr.ahnlab.com/Help/V3Lite/ko_KR/smart_defense_settings.htm
3. 분리된 공간에 백업하는 것이야 말로 가장 완벽한 예방 방법입니다.
만약을 위해 항상 백업을 하는 습관을 들이세요. 요새 외장하드도 많이 나오고, 클라우드 서비스도 잘 나오지요^^
그냥 인터넷에 찾아 보면 나오는 것들은 상관 없지만, 오직 하나 뿐인 자료들은 꼭 백업하셔야 합니다.
소중한 사진들이나 회사의 중요한 파일들을 다 잃어버리고 나서 후회해도 이미 늦었습니다.
--
*게시글 수정에 도움을 주신 울지않는벌새 님과 후애 님께 감사드립니다. 아울러 컴도사 님께도 감사드립니다.
반응형
'IT & Security > 윈도우' 카테고리의 다른 글
| Cerber 랜섬웨어로 암호화된 avi 파일이 열립니다!!! (0) | 2017.07.03 |
|---|---|
| Windows와 Office, MSE 제품군의 라이선스 Q&A (0) | 2017.07.03 |
| Petya/GoldenEye 랜섬웨어의 킬스위치가 정말 작동하는 것일까요? (0) | 2017.07.03 |
| SMB 취약점을 통해 유포되는 Wcry 랜섬웨어, 이용자 긴급 주의 (0) | 2017.07.02 |
| Microsoft Windows 공격도구 공개에 따른 주의 권고 (0) | 2017.07.02 |