보안 / 해킹 페트야 랜섬웨어, 감염 예방방법(로컬 킬스위치)
2017.06.28 12:27
본문중 일부
-----------------------------
일부 보안연구자들이 발견한 페트야 랜섬웨어 '킬스위치' 실행 명령. 윈도 OS 경로에 페트야의 동작을 멈추게 하는 파일을 생성하고 읽기전용 속성으로 지정하는 명령어다.
한 보안 전문가는 이를 수행하려면 관리자 권한으로 명령 프롬프트를 실행한 뒤 다음 3가지 명령을 입력하라고 조언했다. 첫째는 'rem. > %windir%\perfc' 입력 후 엔터. 둘째는 'rem. > %windir%\perfc.dat' 입력 후 엔터. 마지막으로 'attrib +R %windir%\perfc.*' 입력 후 엔터. 작은따옴표(')는 제외다.
연구자들의 설명에 따르면 페트야 랜섬웨어는 감염 대상 시스템의 윈도 OS 경로안에 perfc라는 이름의 파일명이 존재할 경우 악성 행위를 중단하는 것으로 파악됐다. 시스템을 암호화하거나 다른 컴퓨터로 전파를 시도하지 않는다는 얘기다. 이런 이유에서 이 파일 생성 방법은 '로컬 킬스위치'라 불리고 있다.
-----------------------------
게시글 : https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=26563
원문 : https://www.zdnet.co.kr/news/news_view.asp?artice_id=20170628094036
귀찮은 사람은 윈도우탐색기(파일탐색기) -> windows 폴더안에 perfc 또는 perfc.dat를 파일을 읽기전용으로 만들어 넣으면됨.
댓글 [19]
-
kungms 2017.06.28 13:14
-
흑서서 2017.06.28 13:17
램섬웨어는 윈도우 디펜더 및 백신으로 완벽하게 막을 수 없습니다.
-
현규 2017.06.28 13:53
백업은 필수고요,
백신보다 다중 분리 백업이 더 효과적일수도 있습니다.
-
현규 2017.06.28 13:52
정보 고맙습니다.
...마우스 클릭질과 오타를 동반할 수 있는 타이핑을 수없이 해야 하는 탐색기 보다는
커맨드 명령이 더 단순하죠~^^
==========
rem. > %windir%\perfc
rem. > %windir%\perfc.dat
attrib +R %windir%\perfc.*
==========
rem 은 파일명 변경 명령어인데, 이런식으로 응용이 가능하군요.
(앗 ren 과 헛갈림. 주석 달아주는 명령어군요.)
아래는 echo 를 사용하는 방법.
==========
echo > %windir%\perfc
echo > %windir%\perfc.dat
attrib +R %windir%\perfc.*
==========
카피 페이스트 끝
-
흑서서 2017.06.28 13:55
그래서 배치 파일로 만들어 보았습니다.
-
현규 2017.06.28 13:56
고맙습니다~ ^^
-
concentric 2017.06.29 05:54
감사합니다~~
-
와니 2017.06.29 11:14
고맙습니다.
-
이세라 2017.06.28 15:48 음... 제가 사용하는 여러 PC에서는 perfc, perfc.dat 관련 파일이 존재 하지 않는군요
파일이 존재 하는 시스템이 따로 있나 봅니다.
-
흑서서 2017.06.28 15:54
잉? 원래 존재하지 않습니다.
랜섬웨어가 감염되면 perfc, perfc.dat 을 생성하는데 이미 perfc, perfc.dat 파일이 있으면 검염된거라고 생각하고 랜섬웨어가 작동하지 않습니다.(킬스위치)
그래서 랜섬웨어를 속이기 위해 짝퉁 perfc, perfc.dat 을 만들어 주는 겁니다.
-
이세라 2017.06.28 16:07 아하... 이해 했습니다.
감사 드립니다. ^^
-
장산옹마 2017.06.28 21:42
감사합니다. 잘 사용하겠습니다.~~~^*^
-
엔젤바이러 2017.06.28 22:35
감사합니다
-
컴맹이ⓗ 2017.06.28 22:44 감사합니다
-
asklee 2017.06.28 22:47
-
성공가도 2017.06.29 05:27
제 시스템에는 이미 C:\Windows\INF\PERFLIB\0000 경로에
perfc.dat, perfd.dat, perfh.dat, perfi.dat 파일이 존재하고 생성된 날짜는 3월경이네요.
랜섬웨어에 감염됐다는 화면은 안 떴으니 페트야 랜섬웨어에 당한건 아닌데
파일이 이미 생성되어져 있다니 뭔가 이상하기도 하네요 흐음 ㅇㅅㅇ;
-
concentric 2017.06.29 05:56
저도 그러네요~~
-
Sting 2017.06.29 10:00
그 경로에 있는건 원래 있는 정상적인 파일이에요.
성능 카운터 라이브러리 관련 파일인듯합니다.
이 랜섬은 거기에 관련된 파일인것처럼 위장해서 스위치를 만드는 것으로 보입니다.
-
길바라기 2017.07.02 19:12
감사합니다.
사전에 허락없이 다른 커뮤티에도 알렸습니다.
양해를 구합니다.
https://tpholic.com/xe/12094871
이런 보고가 계속되는 걸 보면서 윈도우 디펜더만으로만 대비할 수 있는 건가 하는 의문이 점점 듭니다.