[엠플]제 2의 WannaCry,"Petya 랜섬웨어" 확산 주의

제2의 WannaCry, “Petya 랜섬웨어 확산”

안녕하세요. 엠플입니다.   지난 5월 전 세계를 강타한 “WannaCry 랜섬웨어” 기억 나시나요??   국내외 많은 기업 및 국가들이 피해를 입었습니다.   지난 2017년 06월 27일 WannaCry 동일하게 SMB 취약점을 이용한 Petya 랜섬웨어가 유포되고 있습니다.   현재까지 Petya랜섬웨어의 피해가 가장 심각한 국가는 우크라이나, 러시아, 서유럽 지역이며, 국내에서도 27일 피해가 발생된 것으로 SNS상에서 확인되었습니다   ESTsoft에 따르면 PETYA 랜섬웨어는 2016년 초, 최초 발견되었던 랜섬웨어입니다. 이는 MFT(Master File Table)영역에 대한 암호화뿐만 아니라 MBR(Master Boot Record)영역을 감염시켜서 시스템 자체를 먹통으로 만듭니다. 이번에 유포중인 PETYA 랜섬웨어의 경우, WannaCry와 거의 동일하게 네트워크웜의 기능이 추가된 것으로 보입니다.    <PETYA 랜섬웨어에 실제 감염 시 발생하는 화면>   WannaCry 랜섬웨어와 마찬가지로 이번 PETYA 랜섬웨어는 SMB프로토콜의 취약점을 이용하고 있습니다. 따라서, 사용자분들께서는 가장 우선적으로 사용중인 Windows OS의 최신패치가 되어 있는지 여부를 확인하시기 바랍니다. 기존 WannaCry 랜섬웨어 이슈 당시 MS17-010 취약점에 대해 업데이트를 해놓으셨다면, 당분간은 안심하셔도 될 것 같습니다.   만일의 경우에 대비하여 반드시 중요자료에 대한 백업을 진행해 주시기 바랍니다.

[개발사별 대응 조치 권고]   공통 권고 사항 최신 윈도우 보안 업데이트 (▶ 윈도우 보안업데이트 방법 자세히 보기) 안전하지 않은 SMBv1 프로토콜 비활성화   ▶ Windows SMB 보안업데이트 롤업프리뷰패키지(KB4013389) 확인 (KB4012212, KB4012215는 Windows7, Windows Server 2008 R2의 핫픽스번호입니다. ) ▶ Microsoft 보안공지 MS17-010 확인     한국랜섬웨어 침해 대응센터(https://www.rancert.com/bbs/bbs.php?bbs_id=notice&mode=view&id=65) Perfc 배치 파일 생성(임시 대응 방편)     ESTsoft(http://blog.alyac.co.kr/1180) 1) 최신 윈도우 보안 업데이트 (▶ 윈도우 보안업데이트 방법 자세히 보기) 2) WMIC(Windows Management Instrumentation Command-line)  사용하지 않도록 설정(윈도우 보안업데이트와는 별도로 조치 필요) (▶ WMIC 설정 방법 보러가기) 3) 안전하지 않은 SMBv1 프로토콜 비활성화 4) c:/windows/perfc 폴더생성 후, 읽기 권한으로만 설정(임시방편) * 해당 배치파일 실행 시, 자동생성 알약에서는 해당 PETYA 랜섬웨어에 대해 Trojan.Ransom.Petya로 6월 27일부터 대응     안랩(http://blog.ahnlab.com/ahnlab/2272) 안랩 제품 대응 현황 V3 제품군: Trojan/Win32.Petya 진단 / 제거 (엔진 버전 : 2017.06.28.01) MDS 제품: Trojan/Win32.Petya, Suspicious/MDP.Behavior 탐지 / 제거 V3 엔진을 최신 버전으로 업데이트한 후 시스템 전체 검사(정밀 검사 수행) 주요 데이터 백업 및 시스템 점검   카스퍼스키(Petya > ExPetr로 정의)(http://news.kaspersky.co.kr/news2017/06n/1706282.htm) 카스퍼스키랩은 아래와 같이 탐지 • UDS:DangerousObject.Multi.Generic • Trojan-Ransom.Win32.ExPetr.a • HEUR:Trojan-Ransom.Win32.ExPetr.gen 행동 기반 탐지 엔진인 '시스템 감시기'는 아래와 같이 탐지 • PDM:Trojan.Win32.Generic • PDM:Exploit.Win32.Generic 카스퍼스키랩 기업용 제품 사용 고객에게는 아래와 같이 확인할 것을 권장 • 모든 보호 기능이 정상 동작 중인지 확인하고 특히 기본적으로 제품에서 활성화된 'KSN' 및 '시스템 감시기' 기능이 꺼져 있지 않고 활성화되어 있는지 확인합니다. • 추가적인 보호 방법으로 '애플리케이션 권한 제어' 기능(https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm)을 사용하여 perfc.dat라는 파일의 실행을 차단하고 PSExec 유틸리티(Sysinternals Suite 제품의 일부분)의 실행을 막습니다 • '애플리케이션 시작 제어' 기능에서 한번 더 PSExec 유틸리티의 실행을 차단합니다. • '애플리케이션 시작 제어' 기능을 '기본 거부' 모드로 적용하여 이번 공격뿐만 아니라 여러 공격에 대해 사전 방어를 수행할 수 있게 합니다   시만텍(https://www.symantec.com/connect/blogs/petya-ransomware-outbreak-here-s-what-you-need-know) 네트워크 기반 보호 시만텍은 MS17-010 취약점을 악용하려는 시도를 차단하는 대신에 다음과 IPS 보호 OS의 공격 : 마이크로 소프트 SMB MS17-010 공개 시도  (2017 년 5 월 2 일 발표) 공격 : 쉘 코드 다운로드 활동  (2017 년 4 월 24 일 발표) 안티 바이러스 : Ransom.Petya SONAR 행동 탐지 기술 : SONAR.Module!의 GEN3

[지난 뉴스레터 보기] [엠플]5월 랜섬웨어 대란에 이은 6월 2차 공격 주의보 [엠플]실생활속을 파고드는 변종 랜섬웨어 유포 주의 [프로모션]랜섬쉴드PC & 랜섬쉴드 클라우드 출시 [엠플]랜섬웨어에 대한 확실한 대비는 원본 데이터 백업   자세한 사항은 아래 연락처로 문의 주시기 바랍니다. [문의하기] (주)엠플 (Business Software, Solution Consulting Partner) ü  02-501-0223 ü  support@impl.co.kr