포스팅 내용

국내외 보안동향

Petya 랜섬웨어, WannaCry 처럼 급격히 전 세계로 확산 돼

최초 감염 원인


우크라이나의 소프트웨어 벤더인 M.E.Doc가 27일 아침 “당사의 서버가 바이러스 공격을 받고 있다”는 공지를 발행했습니다. 


<출처 : https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/>


하지만 몇 시간 후, Petya 랜섬웨어가 우크라이나 전체를 넘어 다른 국가에까지 퍼지기 시작하자 M.E.Doc은 페이스북에서 그들의 서버는 어떠한 악성코드도 퍼뜨리지 않았다고 부인하고 있습니다.


또한 CVE-2017-0199취약점이 포함된 doc 파일이 첨부된 이메일로도 유포 되고 있다는 주장도 있지만, 아직 입증되지는 않고 있습니다. 이 주장이 잠재적으로 사실일 가능성이 있지만, 우크라이나의 수 많은 공공 기관들을 감염시킨 원인은 아닌 것으로 보입니다. 


Petya랜섬웨어 대응방법 자세히 보러가기



Petya 랜섬웨어의 특징


Petya는 예전에 Petya라 불리우던 기존의 코드를 기반으로 하고는 있지만, 이 랜섬웨어는 자체 클래스로 분류 될 만큼 충분히 다릅니다. 이에 많은 연구원들이 최근 발견 된 Petya를 NotPetya라 부르기도 합니다. 



현재 상황


Petya 랜섬웨어 공격자들이 더 이상 이메일을 받을 수 없기 때문에, 전문가들은 피해자들에게 랜섬머니를 지불하지 말 것을 당부하고 있습니다. 

독일의 이메일 서비스인 Posteo가 범죄자들이 랜섬머니를 받기 위해 피해자들과 연락하는데 사용하는 이메일인 wowsmith123456@posteo.net을 사용중지 시켰기 때문입니다. 


현재까지 23명의 희생자가 파일을 복호화 하기 위해 “1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX” 비트코인 주소로 총 $6775를 보낸 것으로 확인되었습니다.



지금까지 Petya 감염 사례


- 러시아의 국영 석유회사인 Rosneft와 우크라이나의 국가 전력 공급 업체인 “Kyivernergo”와 “Ukrenergo”가 감염

- National Bank of Ukraine(NBU)와 Oschadbank를 포함한 은행 몇 곳과 다른 회사들도 Petya 랜섬웨어에 감염

- 국제 물류 회사인 Maersk도 트위터에 최근 Petya 랜섬웨어에 감염, 사업 부서 및 여러 지점들의 IT 시스템을 중지

- 채굴 회사인 Evraz의 우크라이나 지점의 워크스테이션 다수에도 영향을 미침

- 우크라이나의 로컬 지하철 및 Kievdml Boryspil 공항의 시스템 감염

- 우크라이나의 통신사인 Kyivstar, LiveCell, Ukrtelecom도 감염







참고 : 

https://www.bleepingcomputer.com/news/security/petya-ransomware-outbreak-originated-in-ukraine-via-tainted-accounting-software/

http://thehackernews.com/2017/06/petya-ransomware-attack.html

https://www.malwaretech.com/2017/06/petya-ransomware-attack-whats-known.html



  1. DFFERGGGTRG 2017.11.29 11:52  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

티스토리 방명록 작성
name password homepage