보안 / 해킹 신종 랜섬웨어 페트야, 하드디스크-OS 먹통
2016.04.01 12:24
하드디스크와 OS를 마비시키는 랜섬웨어가 등장했다.
공격 대상에게 파일공유서비스인 드롭박스 링크가 첨부된 이메일을 보낸 뒤 해당 링크에서 파일을 다운로드해 실행하면 랜섬웨어가 작동되는 방식이다.
문제는 페트야가 PC, 노트북의 부팅영역까지 건드리면서 전체 시스템을 사용할 수 없게 만들어 버린다는 점이다.
문서파일만 암호화해 이를 풀어주는 대신 대가를 요구하는 기존 랜섬웨어와 다른 방식을 쓴 것이다.
이 랜섬웨어에 감염되면 컴퓨터의 마스터부트레코드(MBR) 영역이 악성 로더로 대체된 뒤에 강제로 재부팅을 시도한다. 그 뒤에는 본래 파일 오류를 점검하기위해 쓰이는 체크디스크(CHKSDK)를 위장한 프로그램을 실행해 하드디스크 내 마스터파일테이블(MFT)을 암호화 시킨다.
그 다음으로 익명 네트워크인 토르를 통해 특정 페이지에 접속해 가상화폐인 비트코인 0.9BTC(약 370달러) 비용을 지불하면 이를 풀어주겠다는 메시지를 띄운다.
https://www.zdnet.co.kr/news/news_view.asp?artice_id=20160401100614&type=det&re=
댓글 [17]
-
오늘을사는자 2016.04.01 13:24
-
한걸음더 2016.04.01 13:41
익명이라서 계좌추적이 안되나요?
버러지 같은 놈들...
-
DarknessAngel 2016.04.02 07:02
현금이랑 동일한 비트코인에 추적 기능따위 없습니다
-
메리아 2016.04.01 13:45
그나마 저건 일단 사용자 부주의가 동반되어야만 가능한 놈인데,
이미 사용자 부주의와 관계없이 털리는 기법이 있으니, 결합된다면...
진짜 노답. ㅠㅠ
아무리 생각해도,
이걸 해결하려면 가상화밖에 없음.
모든 웹브라우징과 웹에서 받은 파일의 처리를,
가상머신 속에서 큰 성능저하없이 하는 방법만이 살길이라고 봅니다.
문제는 가상화 자체가 뚫리는 기법이 존재하기 때문에 그것만 잘 막을 수 있다면, 괜찮을거 같은데...
-
Neuro 2016.04.02 06:28 이런 악성프로그램들이 앞으로의 OS가 갈 방향을 보여주고 있다고 생각합니다.
앞으로의 OS는 부트로더가 가상 머신을 띄우고
모든 처리가 가상머신위에서 이뤄질거라고 생각합니다.
문제가 생기면, 그 가상 머신을 죽이고 빠르게 또다른 가상머신을 띄우는 새로운 개념의 웜 부팅.
실행중인 프로세서 트리를 재부팅없이 다른 가상머신으로 빠르게 옮기는 점핑기능 등이 필수일것 같아요
-
오펜하이머 2016.04.02 06:50
VM으로 쓰는건 너무느려 말도안되고
이런걸 원천 차단하기에는 리눅스 또는 2012 서버를 두고 PXE(디스크리스) + SMB가 제격입니다.
집과 사무실 모두 이렇게 쓰고 있으며
서버는 사양이 낮아도 별 차이가 없는데 구형보드도 거의 기가랜은 되니까요.
참고로 ARM 머신은 아무리 최신AP라도 구형 x86만 못한데 썩어도 준치 바로 이런거죠...
-
DarknessAngel 2016.04.02 07:03
PXE써도 데이터 디스크는 별 수 없습니다
통상적으로 랜섬은 데이터 디스크를 노리니 그쪽은 아무리 네트워크상에 두더라도 쓰기 권한 있는한 한번에 다 털려없어집니다
-
오펜하이머 2016.04.02 12:41
물론 삼바보안은 따로 신경써야죠.
마운트 해버리면 로컬이나 마찬가지라 의미가 없겠지만 일단 비번 세팅후 마운트 대신 unc 경로로 사용하면 됩니다.
리눅스라면 삼바비번의 암호화 가능하니 충분히 안전하게 관리할수 있습니다. -
DarknessAngel 2016.04.03 08:41
소용 없어요
랜섬 바로 발동 안 하고 대기시간 있다가 작동하는 타입도 있고, 리눅스용도 있고, 네트워크 경로나 심지어는 vm용 api핸들 검색하는 타입도 있습니다
이중 복수 해당되는경우는 어떻게 안전하단건지? (아무리 암호화해놔도 접근을 위해 입력하는 순간 대기하고 있던게 발동하면 한번에 다 날립니다)
-
오펜하이머 2016.04.05 01:12
아 그정도로 지능화된 코드도 있었군요.
허긴 삼바가 전통적으로 취약하긴 했었죠.
물론 그렇다고 해도 추가적인 대응수단은 당연히 있습니다.
모든 삼바 미디어는 어떤 계정이든 오직 읽기전용으로만 열어놓습니다.
이 경우라면 unc로 안쓰고 마운트해도 되겠네요.
그리고 쓰기는 PXE 상의 로컬드라이브만 사용하다
중요한 자료가 있는 서버 스토리지의 업데이트가 필요할때는 FTP를 사용하면 크게 불편하지 않으면서 걱정 끝 입니다.
FTP도 절대 뚫을수 없는건 아니지만 삼바보다는 나을겁니다.
-
DarknessAngel 2016.04.05 07:06
심지어는 네트워크 검색해서 감염시키는 경우도 있었습니다 (관리자 권한 있는 이상 패킷 켑쳐하는 괴악한짓 안 하란 보장도 없죠)
읽기전용으로 해두면 안전 확실하긴합니다 (다만 매번 귀찮은게 흠입니다)
FTP라면 큰 문제는 없긴해도 서버쪽 업데이트는 꽤 자주 하셔야할껍니다 (특히 커널&ftpd)
추신 : 저처럼 복수의 외장하드에 분할 저장해서 사본까지 작성해두는것도 방법입니다 (랜섬은 물른이고, 물리/논리적 손상까지 대비한 방책입니다) (다만 꽤 많은 개수의 하드를 구매해야하므로 자금상 좀 부담스럽긴하지만, 나중에 손상되어서 복구할때 들어갈 비용에 비하면 저렴합니다)
-
흙기사 2016.04.07 19:04
윈도서버로 파일서버 구성해서 쉐도우복사본(스냅샷) 백업을 하루 1~2회 정도 걸어놓는데요.문제가 생기면 손쉽게 복구가 가능했습니다. 최근 반나절 작업은 포기해야하지만요. -
한걸음 2016.04.02 22:35
헐 이런건......
-
기냥2 2016.04.03 22:19
그참!
이것들이 하루에 벌어들이는 돈이 대략 1000만원쯤 된다고 하네요.
(실제로 계좌추적을 해 본 결과랍니다.)
대부분 그냥 컴을 지우고 말겠지만 그래도 50만원 정도이면 돈을 지불하는게 낫다고 판단하는 모양입니다.
https://www.ajunews.com/view/20140614154720130
몇년전에 시놀나스에 1.5*5 레이드가 깨져 자료가 왕창 날아갔던 일을 생각하면 지금도 끔직한데~
그때 생각하면 100만원 그 이상이라도 해결된다는 보장만 있다면 지불하겠더군요.
-
asklee 2016.04.05 00:22
페트야는 바이로봇으로 예방 가능한가 봅니다
https://www.hauri.co.kr/information/issue_view.html?intSeq=285&page=1&article_num=226
-
별성지 2016.04.12 21:28
그 새 복구 프로그램이 생겼네요.
https://windowsforum.kr/7381634
-
사이버농부 2016.04.18 11:36 갈수록 진화 하는군요... ㅠㅠ
랜섬웨어 종결자가 나왔군요. 이건 절대 피해가야 합니다. 그냥 싹다 날리겠군요. 흠...
그냥 이젠 봐주지 않겠다는 의지가 보입니다 ㅡ,,ㅡ