하드와 운영체제 먹통 만드는 랜섬웨어 페트야

하드디스크와 운영체제(OS) 를 먹통으로 만드는 랜섬웨어가 출현했습니다.
이 랜섬웨어는 컴퓨터 부팅영역에 침범하여 시스템 전체를 사용할 수 없게 만들어 버립니다.

감염 경로를 보면 공격대상에게 드롭박스(DropBox : 웹하드) 링크가 추가된 이메일을 보내고 해당 링크를 통해 파일을 다운로드하여 실행하면 랜섬웨어가 동작합니다.

이 페트야(Petya)라는 랜섬웨어가 동작하면 컴퓨터 마스터부트레코드(MBR) 영역을 악성 로더로 대체합니다. 이후 강제 재부팅을 시도하고 체크디스크(chkdsk.exe) 로 위장한 프로그램을 실행해 하드디스크의 마스터파일테이블(MFT) 을 암호화 합니다. 이후 암호를 풀어주는 대가를 요구하는 것입니다.

이것이 이번 등장한 랜섬웨어 페트야(Petya)의 감염 증상입니다.

[그림1] 랜섬웨어 페트야(Ransomware Petya)

이 페트야란 랜섬웨어가 이전의 것들과 다른점은 이전까지의 랜섬웨어는 문서파일을 위주로 암호화 하는 증상을 보이고 그 대가를 요구하였지만 이번은 아예 컴퓨터를 먹통으로 만들어 버린다는 것입니다.

아, 여기서 잠깐. 랜섬웨어(Ransomware)가 무엇인가요?

궁금한 분들이 많을 것입니다. 이는 악성코드의 일종입니다.
파일을 암호화 시켜 사용할 수 없게 만들어 놓고 이 암호화를 해제해 주는 대가를 요구하는 것입니다. 랜섬웨어를 영문으로 쓰면 Ransomware 입니다. 여기서 ransom 은 몸값을 의미합니다. 정상화에 대가를 요구하는 악성코드란 것입니다. 이것이 랜섬웨어의 최종 증상입니다.

이전의 악성코드보다 더 악질적인 것입니다. 이전까지는 남에게 피해를 입히는 것이 끝이었다면 이제는 그것으로 자신이 수익을 얻겠다는 것입니다. 웃기지만 무서운 세상입니다.

랜섬웨어 감염시 특별한 치료나 복구 방법이 없습니다. 요구하는 금액을 준다고 해도 암호를 해제해 준다는 보장도 없습니다. 랜섬웨어는 예방이 최선입니다. 중요 데이터를 자주 백업하시고 랜섬웨어 감염이 느껴질 때는 바로 피씨 동작을 정지합니다. 한번에 모든 컴퓨터가 감염되지는 않기에 조금이라도 덜 감염 되었을 때 멈춘뒤 해당 파티션을 포맷후 윈도우를 재설치하고 악성코드과 바이러스 검사를 시행합니다. 이것이 랜섬웨어 감염시 최선의 대처 방법입니다.

* 랜섬웨어 페트야(Ransomware Petya) 감염과 동작 경로

피씨 먹통 <-- 랜섬웨어 동작 <-- 실행 <-- 링크 다운로드 <-- 공격대상 <-- 이메일 <-- 드롭박스 링크 추가된

아스팔트.