KL Technologies, 성공적인 사업 파트너
6월 27일에 보고된 'ExPetr' 랜섬웨어 공격에 대한 카스퍼스키랩의 조사 리포트
 
카스퍼스키랩은 전 세계의 기업 및 기관을 대상으로 한 새로운 종류의 랜섬웨어 공격을 조사하고 있습니다. 당사의 예비 조사 결과에 따르면 이 랜섬웨어는 기존에 공개된 Petya 랜섬웨어의 변종은 아니며 이전에는 보고되지 않은 새로운 유형임을 시사합니다. 이 랜섬웨어는 Petya와 비슷한 여러 문자열을 가지고 있지만 완전히 다른 기능을 가지고 있습니다. 그래서 당사는 이 랜섬웨어에 ExPetr이라는 이름을 붙였습니다.


그림 1. ExPetr 랜섬웨어 감염 화면 - NTFS의 MFT 테이블 암호화

카스퍼스키랩의 데이터에 따르면 지금까지 약 2,000명의 사용자가 공격을 받은 것으로 확인됩니다. 러시아와 우크라이나가 가장 많은 공격을 받았으며, 폴란드, 이탈리아, 영국, 독일, 프랑스, 미국 및 기타 여러 국가도 공격을 받았습니다.


그림 2. ExPetr 랜섬웨어에 의한 국가별 감염 비율

ExPetr 랜섬웨어는 다양한 공격 벡터가 포함된 복잡한 공격으로 보입니다. 당사는 이전에 알려진 Eternalblue와 EternalRomance 익스플로잇의 변형 버전이 기업 네트워크 감염에 활용되었다는 것을 확인했습니다.

이 익스플로잇을 이용한 랜섬웨어를 막기 위해서는 Windows 소프트웨어의 MS17-010 보안 패치를 수행하길 권장합니다.

또한, 모든 기업은 반드시 중요 데이터에 대한 백업을 수행해야 합니다. 시기 적절한 백업은 데이터 손실이 발생되더라도 원본 파일을 복원하는 데 도움이 됩니다.

한편, 별도의 보안 제품이 없다면 Windows OS의 AppLocker 기능을 사용하여 Sysinternals Suite의 PSExec 유틸리티는 물론 "perfc.dat"이라는 이름을 가진 파일의 실행을 차단하기를 권장합니다.

추가 내용:
이 공격의 배후에 있는 범죄자들은 암호화된 데이터를 풀려면 300달러를 비트코인으로 하나의 비트 코인 계좌로(unified Bitcoin account) 지불 하도록 요구하고 있으며 워너크라이와는 다르게 희생자에게 지갑 번호를 wowsmith123456@posteo.net로 보내도록 하여 거래를 확인하는 방식을 취하고 있습니다.
이 이메일 계정은 이미 폐쇄 되었으며 따라서 현재 암호를 푸는 방법은 없어진 상태입니다. 지금까지 비트코인 지갑에는 24건의 거래가 기록되었으며 금액으로는 2.54BTC(6천 달러 미만)으로 추산됩니다.

세부 분석 리포트는 당사 보안 블로그에서 확인할 수 있습니다:
https://securelist.com/schroedingers-petya/78870/ 
17-06-29 17:19