내용물
- NotPetya 랜섬웨어란 무엇입니까?
- 당신은 누구로부터 자신을 보호합니까?
NotPetya 랜섬웨어란 무엇입니까?
NotPetya(또는 애완동물랩)는 이전 버전을 기반으로 합니다. 페트야(Petya) 랜섬웨어, 원래는 비트코인 결제를 위해 파일과 장치를 인질로 보관하도록 설계되었습니다. 그러나 그럼에도 불구하고 NotPetya의 돈 수집 시도 빠르게 움직이는 글로벌 공격에서는 돈이 목적인 것처럼 보이지 않습니다. 대신 NotPetya는 회사에 피해를 주기 위해 컴퓨터의 파일 시스템을 암호화하고 있습니다. 랜섬웨어 측면은 겉으로 보기에 단지 은폐일 뿐입니다.
추천 동영상
NotPetya를 위험하게 만드는 것은 랜섬웨어 기반 전선 아래에 다음과 같은 공격이 있다는 것입니다. 이터널블루, 미국 국가안보국(일명 NSA)이 설계한 것으로 추정됩니다. 이는 다음과 같은 특정 취약한 네트워크 프로토콜을 표적으로 삼습니다. 서버 메시지 블록 (버전 1) 네트워크로 연결된 Windows 기반 PC 간에 프린터, 파일 및 직렬 포트를 공유하는 데 사용됩니다. 따라서 이 취약점을 통해 원격 공격자는 대상에 악성 코드를 보내고 실행할 수 있습니다. 컴퓨터. Shadow Brokers 해커 그룹 2017년 4월 EternalBlue가 유출되었습니다..
NotPetya 랜섬웨어에는 "웜" 구성 요소도 포함되어 있습니다. 일반적으로 피해자는 이메일에 첨부된 합법적인 파일로 위장한 악성코드를 다운로드하고 실행함으로써 랜섬웨어의 희생양이 됩니다. 그러면 이 악성코드는 특정 파일을 암호화하고 화면에 팝업 창을 게시하여 해당 파일의 잠금을 해제하려면 비트코인으로 지불을 요구합니다.
그러나 2016년 초에 등장한 Petya 랜섬웨어는 PC의 전체 하드 디스크를 암호화하여 공격을 한 단계 더 발전시켰습니다. 마스터 부트 레코드를 감염시켜 Windows 부팅을 시작하는 프로그램을 덮어씁니다. 순서. 이로 인해 데이터를 추적하는 데 사용되는 테이블이 암호화되었습니다. 모두 로컬 파일(NTFS)을 사용하여 Windows가 로컬에 저장된 모든 항목을 찾을 수 없도록 합니다.
전체 디스크를 암호화하는 능력에도 불구하고 Petya는 단일 대상 PC만 감염시킬 수 있었습니다. 그러나 에서 볼 수 있듯이 최근 WannaCry 발생, 랜섬웨어는 이제 사용자 개입 없이 로컬 네트워크의 PC에서 PC로 이동할 수 있는 기능을 갖추고 있습니다. 새로운 NotPetya 랜섬웨어는 원래 Petya 버전과 달리 동일한 측면 네트워크 감염이 가능합니다.
Microsoft에 따르면 NotPetya의 공격 벡터 중 하나는 자격 증명을 도용하거나 활성 세션을 재사용하는 능력입니다.
“사용자는 로컬 관리자 권한이 있는 계정을 사용하여 자주 로그인하고 여러 활성 세션을 열기 때문에 여러 컴퓨터에서 도난당한 자격 증명은 사용자가 다른 컴퓨터에서 갖는 것과 동일한 수준의 액세스를 제공할 가능성이 높습니다. 기계” 회사가 보고한다. “랜섬웨어가 유효한 자격 증명을 갖게 되면 로컬 네트워크를 검색하여 유효한 연결을 설정합니다.”
NotPetya 랜섬웨어는 또한 파일 공유를 사용하여 로컬 네트워크를 통해 증식하고 EternalBlue 취약점에 대해 패치가 적용되지 않은 시스템을 감염시킬 수 있습니다. 마이크로소프트도 언급한다 영원한로맨스, NSA가 만들어낸 것으로 추정되는 서버 메시지 블록 프로토콜에 대해 사용되는 또 다른 공격입니다.
"이것은 두 가지 악성 코드 구성 요소가 결합되어 더 해롭고 탄력적인 악성 코드를 생성하는 훌륭한 예입니다."라고 말했습니다. Ivanti 최고 정보 보안 책임자 Phil Richards.
NotPetya의 빠르고 광범위한 공격 외에도 결제라는 또 다른 문제가 있습니다. 이 랜섬웨어는 피해자에게 특정 비트코인 주소, 비트코인 지갑 ID 및 개인 설치 번호를 사용하여 비트코인으로 300달러를 지불하도록 요구하는 팝업 창을 제공합니다. 피해자는 잠금 해제 키로 응답하는 제공된 이메일 주소로 이 정보를 보냅니다. 해당 이메일 주소는 독일의 모기업 이메일 제공업체인 Posteo가 악의적인 의도를 발견한 후 신속하게 폐쇄되었습니다.
“우리는 랜섬웨어 협박범들이 현재 Posteo 주소를 연락 수단으로 사용하고 있다는 사실을 알게 되었습니다. 우리의 악용 방지 팀은 이를 즉시 확인하고 즉시 계정을 차단했습니다.” 회사가 말했다. "우리는 플랫폼의 오용을 용납하지 않습니다. 오용된 이메일 계정을 즉시 차단하는 것은 그러한 경우 공급자가 필요한 접근 방식입니다."
이는 결제가 맬웨어의 목표인 경우에도 결제 시도가 결코 성공하지 못한다는 것을 의미합니다.
마지막으로 Microsoft는 이 공격이 MEDoc 세무 회계 소프트웨어 개발자인 우크라이나 회사 M.E.Doc에서 시작되었다고 밝혔습니다. 마이크로소프트는 손가락질하는 것 같지는 않지만 대신 "몇 가지 활성 감염이 있다는 증거가 있다"고 밝혔습니다. 랜섬웨어는 처음에 합법적인 MEDoc 업데이트 프로세스에서 시작되었습니다.” Microsoft에 따르면 이러한 유형의 감염은 점점 더 증가하고 있습니다. 경향.
어떤 시스템이 위험에 처해 있나요?
현재 NotPetya 랜섬웨어는 조직의 Windows 기반 PC를 공격하는 데 중점을 두고 있는 것으로 보입니다. 예를 들어, 체르노빌 원자력 발전소에 위치한 방사선 모니터링 시스템 전체는 공격으로 오프라인 상태가 됨. 여기 미국에서 공격이 이루어졌습니다. Heritage Valley 의료 시스템 전체에 영향을 미침, 펜실베니아의 Beaver 및 Sewickley 병원을 포함하여 네트워크에 의존하는 모든 시설에 영향을 미칩니다. 우크라이나 키예프 보리스필 공항 비행 일정에 어려움을 겪음 지연이 발생했으며 해당 웹사이트는 공격으로 인해 오프라인 상태가 되었습니다.
안타깝게도 NotPetya 랜섬웨어가 표적으로 삼고 있는 정확한 Windows 버전을 가리키는 정보는 없습니다. Microsoft의 보안 보고서에는 특정 Windows 릴리스가 나열되어 있지 않지만 안전을 위해 고객은 다음과 같이 가정해야 합니다. Windows XP에서 Windows 10에 이르는 모든 상용 및 주류 Windows 릴리스가 공격에 포함됩니다. 창문. 결국, 심지어 Windows XP가 설치된 WannaCry 대상 컴퓨터.
당신은 누구로부터 자신을 보호합니까?
Microsoft는 이미 이번 최신 맬웨어 발생에 사용되는 EternalBlue 및 EternalRomance 익스플로잇을 차단하는 업데이트를 발표했습니다. Microsoft는 2017년 3월 14일에 두 가지 문제를 모두 해결했습니다. 보안 업데이트 MS17-010. 이는 3개월 전의 일입니다. 이는 이 익스플로잇을 통해 NotPetya의 공격을 받은 회사가 아직 업데이트되지 않았음을 의미합니다. 그들의 PC. Microsoft는 고객이 보안 업데이트 MS17-010을 아직 설치하지 않은 경우 즉시 설치할 것을 권장합니다. 이미.
보안 업데이트를 설치하는 것이 PC를 보호하는 가장 효과적인 방법입니다.
아직 보안 업데이트를 적용할 수 없는 조직의 경우 NotPetya 랜섬웨어의 확산을 방지할 수 있는 두 가지 방법이 있습니다. 서버 메시지 블록 버전 1을 완전히 비활성화및/또는 포트 445에서 들어오는 서버 메시지 블록 트래픽을 차단하는 규칙을 라우터나 방화벽에 생성합니다.
또 하나 있어요 감염을 예방하는 간단한 방법. 시작 파일 탐색기 열기 일반적으로 "C:\Windows"인 Windows 디렉터리 폴더를 로드합니다. 거기에서 생성해야 할 것입니다 "perfc"(예, 확장자 없음)라는 파일을 만들고 해당 권한을 "읽기 전용"(일반/속성을 통해)으로 설정합니다.
물론 Windows 디렉터리에 새 파일을 만드는 실제 옵션은 없으며 새 폴더 옵션만 있습니다. 이 파일을 만드는 가장 좋은 방법은 메모장을 열고 Windows 폴더에 빈 "perfc.txt" 파일을 저장하는 것입니다. 그런 다음 이름에서 ".txt" 확장자를 삭제하고 Window의 팝업 경고를 수락한 다음 파일을 마우스 오른쪽 버튼으로 클릭하여 권한을 "읽기 전용"으로 변경하면 됩니다.
따라서 NotPetya가 PC를 감염시키면 Windows 폴더에서 실제로 자체 파일 이름 중 하나인 특정 파일을 검색합니다. perfc 파일이 이미 존재하는 경우 NotPetya는 시스템이 이미 감염되어 휴면 상태가 된다고 가정합니다. 그러나 이제 이 비밀이 공개됨에 따라 해커는 다시 처음으로 돌아가 NotPetya 랜섬웨어를 다른 파일에 의존하도록 수정할 수 있습니다.
편집자의 추천
- 이 게임을 사용하면 해커가 PC를 공격할 수 있으며, 플레이할 필요도 없습니다.
- Slack 팁과 요령을 활용해 생산성을 극대화하세요