Petya 랜섬웨어, WannaCry 처럼 급격히 전 세계로 확산 돼

최초 감염 원인

우크라이나의 소프트웨어 벤더인 M.E.Doc가 27일 아침 “당사의 서버가 바이러스 공격을 받고 있다”는 공지를 발행했습니다. 

<출처 : https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/>

하지만 몇 시간 후, Petya 랜섬웨어가 우크라이나 전체를 넘어 다른 국가에까지 퍼지기 시작하자 M.E.Doc은 페이스북에서 그들의 서버는 어떠한 악성코드도 퍼뜨리지 않았다고 부인하고 있습니다.

또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있다는 주장도 있지만, 아직 입증되지는 않고 있습니다. 이 주장이 잠재적으로 사실일 가능성이 있지만, 우크라이나의 수 많은 공공 기관들을 감염시킨 원인은 아닌 것으로 보입니다. 

▶ Petya랜섬웨어 대응방법 자세히 보러가기

Petya 랜섬웨어의 특징

Petya는 예전에 Petya라 불리우던 기존의 코드를 기반으로 하고는 있지만, 이 랜섬웨어는 자체 클래스로 분류 될 만큼 충분히 다릅니다. 이에 많은 연구원들이 최근 발견 된 Petya를 NotPetya라 부르기도 합니다. 

현재 상황

Petya 랜섬웨어 공격자들이 더 이상 이메일을 받을 수 없기 때문에, 전문가들은 피해자들에게 랜섬머니를 지불하지 말 것을 당부하고 있습니다. 

독일의 이메일 서비스인 Posteo가 범죄자들이 랜섬머니를 받기 위해 피해자들과 연락하는데 사용하는 이메일인 wowsmith123456@posteo.net을 사용중지 시켰기 때문입니다. 

현재까지 23명의 희생자가 파일을 복호화 하기 위해 “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” 비트코인 주소로 총 $6775를 보낸 것으로 확인되었습니다.

지금까지 Petya 감염 사례

- 러시아의 국영 석유회사인 Rosneft와 우크라이나의 국가 전력 공급 업체인 “Kyivernergo”와 “Ukrenergo”가 감염

- National Bank of Ukraine(NBU)와 Oschadbank를 포함한 은행 몇 곳과 다른 회사들도 Petya 랜섬웨어에 감염

- 국제 물류 회사인 Maersk도 트위터에 최근 Petya 랜섬웨어에 감염, 사업 부서 및 여러 지점들의 IT 시스템을 중지

- 채굴 회사인 Evraz의 우크라이나 지점의 워크스테이션 다수에도 영향을 미침

- 우크라이나의 로컬 지하철 및 Kievdml Boryspil 공항의 시스템 감염

- 우크라이나의 통신사인 Kyivstar, LiveCell, Ukrtelecom도 감염

참고 : 

https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/

http://thehackernews.com/2017/06/petya-ransomware-attack.html

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html