보안 / 해킹 페트야 랜섬웨어, 감염 예방방법(로컬 킬스위치)
2017.06.28 12:27
본문중 일부
-----------------------------
일부 보안연구자들이 발견한 페트야 랜섬웨어 '킬스위치' 실행 명령. 윈도 OS 경로에 페트야의 동작을 멈추게 하는 파일을 생성하고 읽기전용 속성으로 지정하는 명령어다.
한 보안 전문가는 이를 수행하려면 관리자 권한으로 명령 프롬프트를 실행한 뒤 다음 3가지 명령을 입력하라고 조언했다. 첫째는 'rem. > %windir%\perfc' 입력 후 엔터. 둘째는 'rem. > %windir%\perfc.dat' 입력 후 엔터. 마지막으로 'attrib +R %windir%\perfc.*' 입력 후 엔터. 작은따옴표(')는 제외다.
연구자들의 설명에 따르면 페트야 랜섬웨어는 감염 대상 시스템의 윈도 OS 경로안에 perfc라는 이름의 파일명이 존재할 경우 악성 행위를 중단하는 것으로 파악됐다. 시스템을 암호화하거나 다른 컴퓨터로 전파를 시도하지 않는다는 얘기다. 이런 이유에서 이 파일 생성 방법은 '로컬 킬스위치'라 불리고 있다.
-----------------------------
게시글 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=26563
원문 : https://www.zdnet.co.kr/news/news_view.asp?artice_id=20170628094036
귀찮은 사람은 윈도우탐색기(파일탐색기) -> windows 폴더안에 perfc 또는 perfc.dat를 파일을 읽기전용으로 만들어 넣으면됨.
댓글 [19]
-
kungms 2017.06.28 13:14
-
흑서서 2017.06.28 13:17
램섬웨어는 윈도우 디펜더 및 백신으로 완벽하게 막을 수 없습니다.
-
현규 2017.06.28 13:53
백업은 필수고요,
백신보다 다중 분리 백업이 더 효과적일수도 있습니다.
-
현규 2017.06.28 13:52
정보 고맙습니다.
...마우스 클릭질과 오타를 동반할 수 있는 타이핑을 수없이 해야 하는 탐색기 보다는
커맨드 명령이 더 단순하죠~^^
==========
rem. > %windir%\perfc
rem. > %windir%\perfc.dat
attrib +R %windir%\perfc.*
==========
rem 은 파일명 변경 명령어인데, 이런식으로 응용이 가능하군요.
(앗 ren 과 헛갈림. 주석 달아주는 명령어군요.)
아래는 echo 를 사용하는 방법.
==========
echo > %windir%\perfc
echo > %windir%\perfc.dat
attrib +R %windir%\perfc.*
==========
카피 페이스트 끝
-
흑서서 2017.06.28 13:55
그래서 배치 파일로 만들어 보았습니다.
-
현규 2017.06.28 13:56
고맙습니다~ ^^
-
concentric 2017.06.29 05:54
감사합니다~~
-
와니 2017.06.29 11:14
고맙습니다.
-
이세라 2017.06.28 15:48 음... 제가 사용하는 여러 PC에서는 perfc, perfc.dat 관련 파일이 존재 하지 않는군요
파일이 존재 하는 시스템이 따로 있나 봅니다.
-
흑서서 2017.06.28 15:54
잉? 원래 존재하지 않습니다.
랜섬웨어가 감염되면 perfc, perfc.dat 을 생성하는데 이미 perfc, perfc.dat 파일이 있으면 검염된거라고 생각하고 랜섬웨어가 작동하지 않습니다.(킬스위치)
그래서 랜섬웨어를 속이기 위해 짝퉁 perfc, perfc.dat 을 만들어 주는 겁니다.
-
이세라 2017.06.28 16:07 아하... 이해 했습니다.
감사 드립니다. ^^
-
장산옹마 2017.06.28 21:42
감사합니다. 잘 사용하겠습니다.~~~^*^
-
엔젤바이러 2017.06.28 22:35
감사합니다
-
컴맹이ⓗ 2017.06.28 22:44 감사합니다
-
asklee 2017.06.28 22:47
-
성공가도 2017.06.29 05:27
제 시스템에는 이미 C:\Windows\INF\PERFLIB\0000 경로에
perfc.dat, perfd.dat, perfh.dat, perfi.dat 파일이 존재하고 생성된 날짜는 3월경이네요.
랜섬웨어에 감염됐다는 화면은 안 떴으니 페트야 랜섬웨어에 당한건 아닌데
파일이 이미 생성되어져 있다니 뭔가 이상하기도 하네요 흐음 ㅇㅅㅇ;
-
concentric 2017.06.29 05:56
저도 그러네요~~
-
Sting 2017.06.29 10:00
그 경로에 있는건 원래 있는 정상적인 파일이에요.
성능 카운터 라이브러리 관련 파일인듯합니다.
이 랜섬은 거기에 관련된 파일인것처럼 위장해서 스위치를 만드는 것으로 보입니다.
-
길바라기 2017.07.02 19:12
감사합니다.
사전에 허락없이 다른 커뮤티에도 알렸습니다.
양해를 구합니다.
https://tpholic.com/xe/12094871
| 번호 | 제목 | 글쓴이 | 조회 | 등록일 |
|---|---|---|---|---|
| [공지] | 최신정보 이용 안내 | gooddew | - | - |
| 6650 | 윈도우 / MS| Windows 8 KMS 불법 인증자, Microsoft 계정 차단될 수 있음 [37] | 엘휘 | 29840 | 08-09 |
| 6649 | MSDN 에 Windows 7 모든 통합버전이 나왔음.!! [66] |
|
25638 | 08-29 |
| 6648 | 소프트웨어| 리눅스 라이트 1.0.0 [11] |
|
23975 | 11-29 |
| 6647 | 윈도우 / MS| Windows 8 의 권장사양 입니다. [5] | 고래 천사 | 23659 | 09-14 |
| 6646 | 윈도우 / MS| MS 알고도 모른척? '해적판 윈도우8' 영구인증 된다? [21] | 어설프군YB | 22488 | 11-23 |
| 6645 | TED에서 소개된 Bing Map |
|
21644 | 02-14 |
| 6644 | msdn 에 Windows7 서비스팩1 한글 통합판 등장 [39] | 슬픔의언덕 | 19747 | 02-23 |
| 6643 | 윈도우 / MS| 윈도8. 윈도7 보다 많이 팔았는데 사용자는 리눅스보다 적어.. [14] |
|
18334 | 12-01 |
| 6642 | 윈도우 / MS| Microsoft Office 2019 Retail (x86 & x64) DVD [49] | 디폴트 | 18206 | 09-25 |
| 6641 | 윈도7, 호환성 불만 갈수록 태산~ [89] | Native 64 | 17738 | 11-05 |
| 6640 | 윈도우 / MS| 홍차의꿈 윈도우10 정발 소식 [12] |
|
16994 | 07-28 |
| 6639 | 윈도우 / MS| [예상] 윈도우 8 출시일...-RTM-정식- [52] |
|
16780 | 06-10 |
| 6638 | CoreAVC 2.0 (for Windows) 출시. [19] | 미테니사키 | 16778 | 12-21 |
| 6637 | 코렐, '윈집 14.5 한글' 국내 공급 [13] | 미테니사키 | 16261 | 07-08 |
| 6636 | 소프트웨어| 한글과컴퓨터, '한컴오피스 2024' 출시 [64] | 노랑통닭 | 16244 | 10-12 |
| 6635 | ASUS BIOS Update [10] | 뚜버기 | 15982 | 10-31 |
| 6634 | 대학생 윈도우 7 프로 39,900원 [105] |
|
15866 | 10-21 |
| 6633 | 윈도우 / MS| Windows 8에는 연연하지 마세요. [28] | 통나무 | 15840 | 10-18 |
| 6632 | 윈도우 / MS| Windows 8.1 with Update 3 릴리즈 [10] | 신조사협 | 15837 | 12-16 |
이런 보고가 계속되는 걸 보면서 윈도우 디펜더만으로만 대비할 수 있는 건가 하는 의문이 점점 듭니다.