페트야(Petya) 랜섬웨어는 공격자도 복구 불가능한 악성코드!

☞ 랜섬웨어'란?

랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

랜섬웨어 공격 기법 <출처: 한국인터넷진흥원>

1. 워너크라이(WannaCry) 랜섬웨어

 워너크라이(WannaCry) 또는 워너크립트(WannaCrypt), WanaCrypt0r 2.0는 2017년 5월 초부터 등장한 랜섬웨어 멀웨어 툴로써, 이터널블루라는 MS의 windows 파일 공유 기능인 서버 메시지 블록(SMB, '리눅스계열은 samba') 원격코드의 취약점을 악용한 것으로 인터넷 네트워크에 접속만으로도 감염 및 전파된다. 워너크라이는 희생자 pc의 다양한 파일들을 암호화하며, 암호화된 파일을 푸는 대가로 비트코인을 요구하는 메시지를 띄운다.

<워너크라이(WannaCry) 랜섬웨어 화면>

 국내 모 인터넷 호스팅 기업 '인터넷xxx' 가 이 랜섬웨어에 감염되어 공격자와 13억 정도를 지불하고 복구를 진행하였지만 역시 100% 복구는 힘들다고 하며, 이번 협상을 통해서 우리나라 기업들이 추후 보안 공격에 타겟이 되는 빌미를 제공했다고 많은 전문가들과 사람들이 우려를 나타내고 있다.

2. 페트야(Petya) 랜섬웨어

 워너크라이(WannaCry) 랜섬웨어가 사그러들기도 전에 기존의 랜섬웨어보다 더 강력한 페트야(Petya) 랜섬웨어가 퍼지고 있다고 한다.

워너크라이의 경우 킬스위치 차단에 의해 대량 확산이 어느정도 초기에 차단되었었는데, 이번에 등장한 랜섬웨어의 경우에는 그러한 대처도 불가능하여 대량확산이 우려되고 있다고 한다. 초기 배포지인 우크라이나를 중심으로 유럽 전역으로 퍼지고 있는 페트야(Petya) 랜섬웨어는 우크라이나의 공항과 정부기관 및 은행, 각종 기업들이 피해를 받고 있어 많은 어려움을 격고 있다고 한다.

이러한 우크라이나에만 집중적으로 공격이 감행되고 있는 부분에서 그 배후 세력을 러시아로 보고 있다

(관련기사) "돈줘도 복구 안돼" 페트야 랜섬웨어, 배후는 러시아?

<유럽지역에 피해보고된 현황 - 카스퍼스키 랩 출처>

 워너크라이(WannaCry)는 단순 파일만을 암호화하여 비트코인을 요구하는 경우였다면, 페트야(Petya)의 경우에는 NTFS 파일 시스템 MFT의 MBR까지 암호화하여 부팅 자체를 차단하며, 복구를 위해 비트코인을 요구한다.

<페트야(Petya) 랜섬웨어 화면>

3. 페트야(Petya) 랜섬웨어는 복구를 가장한 복구 불가능한 랜섬웨어

 카스퍼스키 랩의 분석에 따르면 페트야(Petya) 랜섬웨어의 경우 복구 불가능한 단순 암호화 파괴 랜섬웨어로써 공격자도 복구가 불가능한 파괴적인 랜섬웨어(Wiper)로 분석했다.

 분석한 결과에 따르면 해당 랜섬웨어는 암호화 진행시에 공격자가 지정한 특정한 패스워드를 지정하여 암호화시켜버리는 것이 아닌 코드를 통한 랜덤키를 생성하여 그 키를 패스워드로 가지고 암호화하여, 이는 공격자도 알수 없는 단순 암호화만을 해버리는 방식으로 피해자가 공격자와 비트코인을 거래로 암호화키를 받는다고 해도 키가 맞지 않아 복구가 불가능하다고 한다. "돈만 받고 튀는 먹튀가 될 가능성이 100%라는 이야기이다"

4. 랜섬웨어의 확산 방법

   - 워너크라이(WannaCry) 에 사용된 이터널블루 익스플로잇과 동일한 방식.

   - TCP 포트 445 (MS17-010 패치가 되지 않은 시스템)를 통한 해당 취약점을 대상으로 하는 원격코드 실행 악용.

   - SMB 취약점이 존재하는 시스템의 WMI 또는 PSEXEC 를 통한 모든 컴퓨터에 확산 가능.

5. 페트야(Petya) 랜섬웨어의 실행 코드 구조

 해당 랜섬웨어는 감염된 후 10~60분동안 대기하다가 재부팅하며, 재부팅 방법은 "at"또는 "schtasks"및 "shutdown.exe" 을 사용하여 예약된다.

<페트야(Petya) 랜섬웨어 코드 구조 - 출처 카스퍼스키랩>

재부팅이 되면 NTFS 파티션에서 MFT 테이블을 암호화하고, MBR을 해당 랜섬웨어 화면이 나타나는 코드로 덮어쓰기 시작하며, 차례대로 파일들을 암호화한다.

6. 암호화 키와 암호화 수준

 페트야(Petya) 랜섬웨어는 파일마다 AES-128 암호화를 진행하며, 암호화 키는 RSA-2048 해시로 암호화 되므로 감염되면 일단 복구가 불가능하다고 생각하면 된다.

7. 랜섬웨어의 예방 방법

 워너크라이(WannaCry)와 페트야(Petya) 랜섬웨어는 둘다 MS17-010 의 취약점을 가지고 공격하는 랜섬웨어로써 가장 좋은 예방 방법은 MS17-010 패치를 설치하면 100% 감염이 예방된다.

 Windows Update 항목에서 최신 버전으로 업데이트를 진행하여 항상 최신 상태를 유지하는것이 가장 바람직하며,

아래의 사이트에서 수동으로 패치도 가능하다.

https://technet.microsoft.com/ko-kr/library/security/ms17-010.aspx

 페트야(Petya) 랜섬웨어의 경우 windows 폴더 내에 Perfc와 Perfc.dat 파일이 존재하면 그 시스템은 이미 장악한것으로 판단하고 더이상 암호화를 진행하지 않는다고 하며, windows 폴더내에 임의의 Perfc와 Perfc.dat 파일을 만들어 놓으면 임시방편으로 좋은 해결책이 될수 있다.

 이미 MS에서는 해당 취약점의 부분을 2017년 초에 발견하고 3월에 패치를 공개하여 Windows Update로 배포하였으며, Windows Update를 항상 최신으로 유지한 사람들에게는 절대 문제가 생기지 않았다. (최초 랜섬웨어 워너크라이의 경우 5월초에 이슈가 터짐) 그러므로 Windows Update를 끄기로 하지 말고 최신상태로 유지하면 웬만한 보안문제는 걱정하지 않아도 생각하면 된다.

---

페트야(Petya) 랜섬웨어를 분석한 카스퍼스키랩 웹페이지 주소입니다.

https://securelist.com/schroedingers-petya/78870/