Petya(페트야/페티야/페티아) 랜섬웨어 관련 기사

요즘 유럽을 중심으로, 특정 프로그램의 취약점에 강하고, 사회기반시설을 주로 공격한다는 랜섬웨어입니다.  페트야는 두 달 전에 퍼진 랜섬웨어에 붙은 이름인데, 이달에 퍼진 것은 그와 비슷하지만 변종이라는 보고가 있습니다. 

워너크라이의 변종이라는 말도 있는데, 돈벌려고 만든 것 치고는 특이한 점이 있어서 특정 국가(러시아)가 뿌린 거 아니냐는 말이 나오네요. 랜섬웨어치고는 돈버는 부분이 이상하고, 시스템을 부수는 데 특화돼 있다고 합니다.

네이버 기사목록

'페트야' 목적 돈 아닌 '시스템'…강력한 러시아 배후설/ 
정부 회계 프로그램 뚫고 컴퓨터 침투. 우크라이나에 공격 집중돼 - 뉴스1 2017-06-29

"페트야가 우크라이나 정부 프로그램을 뚫고 컴퓨터에 침투했다는 점도 의아한 부분. 정부기관이 주로 쓰는 회계 프로그램 메독(MeDoc)의 취약점을 파고들어 컴퓨터에 바이러스를 확산시켰는데 이 역시 SMB(컴퓨터간 데이터 송수신을 위한 프로토콜)를 주로 통로 삼아 침투했던 그간 랜섬웨어 공격 방식과 다르다"

"페트야, 랜섬웨어 아니라 사이버무기" zdnet 2017-06-30

• 페트야는 원래 지난해 4월 피싱 이메일로 유포된 랜섬웨어의 이름
• 최근 유럽 중심으로 세계 각지에 확산된 악성코드 '페트야(Petya)', 또는 엑스페터의 정체는 랜섬웨어가 아님
• 오리지널 페트야는 시스템을 부팅불가로 만든 뒤 비트코인을 요구. 
  지금 페트야는 데이터를 비가역적으로 파괴하는 경향이 있음.
  
  
• 러시아 카스퍼스키랩과 UAE 코매테크놀러지스는 지금 퍼진 변종 페트야를 분석한 결과, 이번 악성코드는 변조한 데이터를 복구하지 못하도록 설계된 것 같다고 말함. 그래서 "랜섬웨어를 가장한 거대한 와이퍼(wiper; 완전삭제)" 프로그램이라고 표현.
• 랜섬웨어는 몸값을 요구할 컴퓨터마다 다른 복호화 키를 생성하기 위해 데이터를 암호화한 컴퓨터마다 고유 아이디를 만들어 범죄자에게 전송하는데, 이번 변종은 이 부분을 그저 랜덤문자열로 만들어 피해자가 보는 화면에 표시하는 것 같다고. 그래서 공격자가 어떻게 각각의 컴퓨터를 구별하는 지 모르겠고, 그래서 처음부터 복구해 줄 생각이 없이 만든 거 아니냐고 짐작.
• 비트코인을 지불해도 지불했음을 공격자에게 알릴 수단도 지금은 없다고.
  
  
• 미국 국가안보국(NSA)이 만든 사이버무기 '이터널블루' 공격코드가 공개된 뒤, 최근 악명을 떨친 워너크라이가 이 코드를 사용해 널리 퍼졌는데, 엑스페터, 또는 새로운 페트야도 이 코드를 사용.
• 엑스페터는 64개국 이상 지역에서 적어도 2천건 이상 공격 보고.
• 워너크라이와 달리 파괴 우선.
• 악성코드를 분석한 마이크로소프트(MS)의 설명에 따르면 엑스페터의 최초 감염 및 확산 경로는 특이하게도 우크라이나 소재 세무회계 소프트웨어 메독(MEDoc)의 업데이트 기능을 통해 발생.
• 그래서 공격자의 최초 의도는 우크라이나를 겨냥한 것 아니냐는 견해가 나옴. 우크라이나를 중심으로 약 10개국에서 집중 피해. 우크라이나가 전체 피해 보고의 6할.

IBM “페트야 랜섬웨어, 워너크라이보다 더 심각한 타격” - 디지털타임스 2017.6.29

• "페트야는 윈도 관리 도구 명령어(WMIC)나 MS의 원격 제어 툴인 PsExes를 통해 연결 네트워크에서 패치가 적용된 시스템을 감염시킬 수 있음" (워너크라이방식도 병행)
• 페트야 자체가 모듈방식 프로그램. 보조 랜섬웨어와 같이 감염해 하나가 막히면 다른 게 동작. 이번것도 변종이듯 추가 변종이 나올 수 있음.

부팅막는 페트야 랜섬웨어, 감염 막으려면/ "윈도 최신 패치해도 위험…WMIC 해제하라" - zdnet 2017.6.28

• 워너크라이때 언급된 MS보안업데이트를 먼저 할 것.
• 페트야는 윈도 매니지먼트 인스트루멘테이션(WMI)을 커맨드라인 명령어로 움직이는 WMIC도 악용하므로, 관리자모드로 터미널을 띄운 다음, net stop winmgm 를 실행할 것.
  ("SMS에이전트호스트나 윈도 방화벽같은 WMI 서비스에 의존하는 다른 서비스도 정지"라고 기사에는 적어 놨는데, 윈도 방화벽을 정지한다고?)
  https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx
• 페트야의 동작방식을 이용한 꼼수(킬스위치 비슷. 더미파일을 좀 만들어 두면 넘어간다고)도 발견되어 위 기사에 적혀 있는데, 이것은 언제까지 통할 지는 알 수 없음.

랜섬웨어 '페트야', 다음 공격목표는 제조·화학 업종 - zdnet 2017.6.30

• 테크크런치가 카스퍼스키랩 보고서 인용.
• “ExPetr(페트야)는 기술 프로세스 자동화와 제어 시스템에 영향을 줄 수 있어 주요 기반시설과 산업회사에 매우 위험하다”
• 페트야로 알려진 이번 사이버 공격은 금융을 비롯해 우크라이나 체르노빌 방사선 모니터링 시스템, 공항과 항만 물류시스템도 공격

ps.

영국 정보기관도 배후를 러시아 정부라고 지목.